XXE漏洞详解

已于 2023-03-17 21:58:53 修改
阅读量738 收藏 1
点赞数
文章标签: xml 安全
于 2023-02-22 16:05:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62370574/article/details/129162786
版权

简介

XXE(XML External Entity Injection) XML外部实体注入,之前听这个词听过很多次了,但由于平日里不管是ctf比赛或者是src遇到的都不多,所以一直没有详细的了解过,趁着假期空闲,决定好好学一下这方面的知识。

XML一般可以用来做数据传输和数据存储,其传输功能和JSON类似,但现在基本使用JSON,很少使用XML,因为XML使用起来太“重”了,而外部实体引入是XML的一个正常功能,但如果在引入时,注入了恶意的外部实体,但本地对注入的外部实体未做严格校验,这时就会出现XXE漏洞。

XML基础

要明白XXE,我们可以首先从XML基础学起。

一个XML文档结构包括、XML声明、文档类型定义DTD(可选)、文档元素

例如下面这一段就是标准的XML文档

<?xml version="1.0"?>
<!DOCTYPE user [
	<!ELEMENT user (username, password)>
	<!ELEMENT username (#PCDATA)>
	<!ELEMENT password (#PCDATA)>
]>
<user>
	<username>admin</username>
	<password>123456</password>
</user>

在这里插入图片描述

通过DTD可以验证XML是否符合正确的语法规则 (DTD实际上类似一段说明文字,说明XML文档的组成元素及结构,如果这里将DTD中的username改为name,打开XML文档并不会报错,只是不符合DTD中定义的语法规则),DTD可以本地声明,也可以外部引用,而XXE主要就是从DTD入手。

DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可在内部或外部进行声明。

实体包括一般实体参数实体,为防止大家被绕晕,这里我们只讲一般实体。

一般实体声明方式:<!ENTITY 名字 '内容'>

使用方式:&名字;

例如:

<?xml version="1.0"?>
<!DOCTYPE user [
	<!ENTITY test "admin">
]>
<user>
	<username>&test;</username>
	<password>123456</password>
</user>

在浏览器中打开

在这里插入图片描述

而外部实体声明方式为: <!ENTITY 名字 SYSTEM "URI/URL">

例如:

<?xml version="1.0"?>
<!DOCTYPE user [
	<!ENTITY test SYSTEM "admin.txt">
]>
<user>
	<username>&test;</username>
	<password>123456</password>
</user>

admin.txt中的内容如下
在这里插入图片描述

在IE8浏览器(其他浏览器显示不出来)中打开

在这里插入图片描述

同时在引用外部实体时,可以使用不同的协议类型来引用 :

file:///path/file.txt
http://url/file.txt
php://filter/read=convert.base64-encode/resource=file.txt

聪明的你们一定已经发现了,只要将admin.txt换成其他文件,就可以实现文件的任意读取了

PHP中的XML

php中常见的与XML有关的函数是 simplexml_load_string

其用法为 simplexml_load_file(string,class,options,ns,is_prefix)

参数描述
string必需。规定要使用的 XML 字符串。
class可选。规定新对象的 class。
options可选。规定附加的 Libxml 参数。
ns可选。
is_prefix可选。

一个简单的例子

<?php
header('Content-type:text/html;charset=utf-8');
//通过php伪协议直接接收POST传参
$data = file_get_contents("php://input");
$xml = simplexml_load_string($data, "SimpleXMLElement", LIBXML_NOENT);
echo $xml->username;

利用XXE读取log.txt的内容
在这里插入图片描述

防御

XXE的防御一般通过两种方式
1.使用开发语言提供的禁用外部实体的方法
例如php中使用libxml_disable_entity_loader(true)
2.对用户输入的内容进行过滤
过滤掉、<!DOCTYPE<!ENTITY,或者SYSTEMPUBLIC

最后

很多人都认为XXE只能用来读文件,实际上还可以配合SSRF来探测内网环境,有兴趣的可以去做几道CTF题目或者靶场来加深理解
CTF题目:XXE漏洞攻击——几道CTF题

1y0ng
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
XXE漏洞
迷风小白
07-12 2799
0X00 什么是XXE XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 0X01 XML XML文档结构包括XML声明、DTD文档类型定义和文档元素信息 ...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
CTF 夺旗-JAVA 考点反编译&XXE&反序列化#Java 常考点及出题思路考点技术:xxe,spel 表达式,反序列化,文件安全,最新框架插件漏洞等设法间
Web漏洞-XXE漏洞(详细)
Ays.Ie的博客
03-11 5501
该篇描述Web漏洞-XXE漏洞(详细)
【CTF-Web】XXE学习笔记(附ctfshow例题)
最新发布
jayq1的博客
05-29 1007
XXE学习笔记
XXE漏洞安全-全网最详细讲解】
LCW991207的博客
08-04 4587
XXE(XML External Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(external entity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。
XXE漏洞详解与利用
qq_56438857的博客
08-11 7348
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XXE漏洞简介
不怕死的假老练
09-05 2487
一、概述 XXE(XML External Entity Injection),即MXL外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站,发起dos攻击。 XXE漏洞触发的点出现在系统可以上传XML文件的位置,应用程序对XML输入进行解析时,没有对上传的XML文件内容进行过滤,没有禁止加载外部实体,导致攻击者可以构造一个恶意的XML文件进行上传。 二、基本概念 1.XML XML,即可扩展
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
XXE 原理漏洞详解.md
04-03
XXE原理漏洞,易懂。
WEB安全之XXE实体注入漏洞.pdf
12-12
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它允许自定义标记并具有结构化的特点。在Web应用程序中,XML常用于数据交换和配置。然而,XML的这种灵活性也引入了安全...
第三节 简单XXE漏洞代码编写-01
09-15
XXE漏洞代码编写详解 XXE漏洞(XML External Entity),是一种常见的安全漏洞,攻击者可以通过构造恶意的XML数据,来访问服务器上的敏感信息。下面我们将详细介绍XXE漏洞的代码编写。 file_get_content函数介绍 ...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储和传输数据的语言,它的设计目标是为了传输和存储结构化数据,而非像HTML那样主要用于展示数据的外观。XML文档通常包含XML声明、DTD(Document ...
信息安全_xxe注入应用与拓展.pptx
08-14
3. **开发框架的Content-Type智能识别**:例如SpringMVC框架,当接收到XML内容并使用JAXB进行反序列化时,如果没有正确的安全设置,可能会导致XXE漏洞。 4. **使用SAML的登录接口**:SAML协议用于身份验证和授权数据...
[ 代码审计资源 ] vulns.war 包
12-28
[ 代码审计资源 ] vulns.war 包 [ 代码审计篇 ] 代码审计案例详解中讲到的知识点最好还是自己搭建环境实践一下。 详情可以看我的文章:[ 代码审计篇 ] 代码审计案例详解
CTF之xxe
qq_37410729的博客
10-26 1784
xxe漏洞即我们可以进行外部实体注入,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 两个writeup 第一题: bp抓包 然后就可以进行xml注入了 这是两种xxe,我们先试第二种(因为源代码并没有标注flag在什么文件中) 然后进内网 然而并进不去,那就只能找存活主机了。 直接暴力寻找 第二题: 按照上题的思路走 但是并没有找到flag。。。。 最后只能去文件里找了,但是题目没有标明具体flag在那个文件,只能试一下/flag文
CTF-[XXE学习记录]
qq_53142368的博客
06-07 999
1.XXE 关于xml我就不详细说了,想看的话从我之前的文章找找,有关于xml的概念和怎么构造。 XML的设计宗旨是传输数据,而非显示数据。XML是不作为的,XML是不会做任何事情,XML 被设计用来结构化、存储以及传输信息。 XML是纯文本,且允许创作者定义自己的标签和文档结构,是独立于软件和硬件的信息传输工具。 0x01.DTD 文档类型定义(DTD)可定义合法的XML文档构建模块,DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 1.内部的DOCTYPE声明 假如DTD被包含在XML源
geoserver xxe漏洞
09-02
Geoserver是一个开源的地理信息系统(GIS)软件,它用于发布和共享地理数据和服务。然而,Geoserver在某些情况下可能存在一个称为XXE(XML外部实体)漏洞XXE漏洞是一种安全漏洞,攻击者可以利用该漏洞来读取本地或远程服务器上的文件。这种漏洞通常是由于应用程序在处理XML输入时,对外部实体的处理不当而引起的。 具体到Geoserver的XXE漏洞,它可能会受到XML实体注入攻击。攻击者可以通过向Geoserver发送包含恶意XML实体引用的请求,来读取系统上的敏感文件或执行任意代码。 为了防止Geoserver XXE漏洞的利用,有几个关键的步骤可以采取: 1. 更新Geoserver:确保您使用的是最新版本的Geoserver。开源软件的维护者通常会修复已知的漏洞,并在新版本中发布修复程序。 2. 安全的配置文件处理:确保Geoserver的配置文件中没有不必要的文件,因为攻击者可能会利用这些文件访问敏感信息。 3. 过滤和验证用户输入:在输入和输出时,对用户提交的XML数据进行充分验证和过滤。这将有助于防止输入的恶意XML实体被执行。 4. 强化安全意识:向Geoserver用户和管理员提供适当的培训,以提高他们对安全问题的意识。这将有助于减少社会工程学攻击和恶意操作。 总之,Geoserver XXE漏洞是一种可以利用的安全漏洞,但通过更新软件、安全配置文件处理、过滤验证用户输入和提高安全意识,可以有效地减少这种漏洞的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值