XXE 外部实体注入漏洞

最新推荐文章于 2024-04-14 14:03:30 发布
最新推荐文章于 2024-04-14 14:03:30 发布
阅读量293 收藏
点赞数
文章标签: 信息安全 安全 xml 编程语言 spark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tangshuangsss/article/details/113156611
版权

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

XXE -"xml external entity injection"既"xml外部实体注入漏洞"。

概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"

也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。

实战

XXE漏洞挖掘

1.xml是什么可以查看https://www.w3school.com.cn/x.asp网站哈,里面写的很详细,全栈攻城狮必备网站,基础就不过多介绍了,因为实在太多了,一篇文章写不下。

2.直接实战如何挖掘,这里有一个api接口,随便提交点啥。没反应,哈哈习惯了,直接跳过哈。

3.构造一个payload,直接输入即可,发现可以执行

<?xml version = "1.0"?><!DOCTYPE note [<!ENTITY hacker "ESHLkangi">]><name>&hacker;</name>

4.再次构造一个payload来读取任意文件,可以直接读取成功。

<?xml version="1.0"  encoding="UTF-8"?><!DOCTYPE name [
<!ENTITY xxe SYSTEM "file:///etc/passwd">]><name>&xxe;</name>

5.总结,各位如果想要搭建测试环境建议使用下面文章中的方法,其他方法试了很多都无法复现该漏洞。

中文版Pikachu web靶机平台搭建指南,英语小白的福音

往期内容

敏感信息泄露漏洞实战

目录遍历漏洞挖掘,站点下有啥我都知道【得意】

渗透武器库--sqlmap实战,黑客如何获取你的隐私

更多资讯长按二维码 关注我们

   专业的信息安全团队,给你最安全的保障。定期推送黑客知识和网络安全知识文章,让各位了解黑客的世界,学习黑客知识,普及安全知识,提高安全意识。

觉得不错点个“赞”呗      

TaibaiXX1
关注
xxe外部实体注入漏洞
糖小喵
04-22 668
XXE原理 在应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成a:文件读取b:命令执行c:内网端口扫描d:攻击内网网站e:发起DDos攻击等 XXE漏洞检测: 1):检测xml是否被成功解析 <!DOCTYPE ANY[ <!ENTITY name "my name is xxx"> ...
XXE外部实体注入漏洞总结
www_xuhss_com的博客
02-20 4256
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 XXE 漏洞原理 XXExml外部实体注入漏洞,应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取,命令执行,内网端口扫描攻击内网网站等危害。 漏洞危害 1. 读取敏感文件。 2. 执行ssrf漏洞,进行内网端口探测,攻击内网网站
XXE外部实体注入漏洞
haoge1998的博客
04-15 164
XXE外部实体注入漏洞 一、概念 libxml2.9以前默认开启了外部实体引用功能导致的注入 二、XML文档结构 1、XML语法 XML文档必须有一个根元素 必须有关闭标签 对大小写敏感 正确嵌套 属性值必须加引号 <?xml version="1.0" encoding="UTF-8"?> <class> <id>2022</id> </class> 2、DTD(document type definition) xml文档结
常见的Web漏洞——XXE外部实体注入
热门推荐
江左盟的博客
11-27 1万+
XML和DTD基础 XML是可扩展性标记语言,类似HTML的标记语言,但标签是自定义的。 DTD是文档类型定义,用来为XML文档定义语义约束,可以在xml文件中声明,也可以在外部引用。 XML文件结构: <? xml version="1.0" encoding="utf-8"?> DTD部分(可选) <root>Test</root> 支持的协议 上图是默认支持协议,还可以支持其他,如PHP支持的扩展协议有 DTD引用和实体声明 DTD内部声明:<!DOCT
【Web漏洞探索】外部实体注入漏洞
kjcxmx的博客
07-19 1092
外部实体注入漏洞XXE(XMLExternalEntityInjection)也就是XML外部实体注入XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。file//和ftp//等协议,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。不允许XML中含有自己定义的DTD。...
XXE外部实体漏洞
heizaier的博客
07-06 162
XXE原理. 运维人员使用了低版本的php,libxml低于2.9.1就会造成xxe或者程序员设置了libxml_disable_entity_loader(FALSE); XXE定义 xml用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己语言进行定义的源语言。xml文档结构包括xml声明,DTD文档类型定义(可选)、文档元素。 如何查找XXE漏洞 1.抓包看accept头是否接受xml。2.抓包修改数据类型,把json改成xml来传输数据。 ...
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 667
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
XXE(XML外部实体注入)漏洞
2ed
08-01 924
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它 什么是XXE 简单来说,XXE全称是——XML External Entity,就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内...
XXE-XML外部实体注入 漏洞详解
最新发布
m0_69043895的博客
04-14 1408
XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发,来弥补 HTML的不足。HTML 用于定义数据的展示,专注于它应该是什么样子。反之,XML 用于定义数据如何被组织。例如,HTML中,你的标签为<title>、<h1>、<tab1e>,<p>以及其它标签。
XXE漏洞XML外部实体注入
whoim_i的博客
02-20 4589
目录什么是XXE基础知识基本利用 什么是XXE XXE(XML External Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并...
外部实体注入漏洞
weixin_45007073的博客
02-17 784
原理 当允许引用外部实体时,会造成外部实体注入(XXE)漏洞。通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。XXE漏洞分为如下两种:有回显的XXE和无回显的XXE漏洞展示 有回显的XXE 我们现在d盘上新建了一个hacker.txt文件用于测试,首先我们先使用burpsuite进行抓包,这里的靶场使用的是php_xxe。 这是XML注入的代码,因为在抓包时我们发现数据是以XML的格式进行传送的,初步判断可能存在XML外部实体注入漏洞 <?xml ve
PiKachu靶场之XXE (xml外部实体注入漏洞)
angry_program的博客
02-22 3353
概述 XXE -"xml external entity injection" 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。XML 教程...
XXE外部实体注入漏洞(皮卡丘通关系列)
weixin_60508121的博客
05-06 302
XXE-外部实体注入漏洞 随便输入个非xml内容,会有一些提示 随便输入个包含命名实体xml数据 <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe "吉同" > ]> <foo>&xxe;</foo> 网页上回显 吉同 ,说明网页多输入的xml数据是有结果回显的。 接下来可以用带外部实体注入的方法,来确定是否支持外部实体, ...
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1702
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XXE漏洞XML外部实体注入漏洞
Freedomua的博客
12-04 736
XXE漏洞XML外部实体注入漏洞) 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成: (1)元素 (2)属性 (3)实体 (4)PCDATA (5)CDATA 下面是每个构建模块的简要描述。 1,元素 元素是 XML以及HTML文档的主要构建模块,元素可包含文本、其他元素或者是空的。 实例: body text in between
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 2207
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
XXE实体注入XXE-lab-master(php_xxe WriteUp)
weixin_41487522的博客
06-25 2120
XXE实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值