excel 导入数据,xxe 注入 poi 3.15

最新推荐文章于 2024-04-10 14:41:56 发布
最新推荐文章于 2024-04-10 14:41:56 发布
阅读量2.4k 收藏
点赞数
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011820505/article/details/89600985
版权

问题: xxe是xml为载体,xlsx就是含有xml的

        构造的是一个带有攻击代码的xlsx文件,里面带有一个我自定义的域名,后台解析后,访问了我指定的这个域名,说明注入成功

 

解决: poi之前是3.9  升级到3.15以上

所需jar   oftenUsed ('org.apache.poi:poi:3.17')  { transitive = false }
        oftenUsed ('org.apache.poi:poi-ooxml:3.17')  { transitive = false }
        oftenUsed ('org.apache.poi:poi-ooxml-schemas:3.17')  { transitive = false }

        apacheCommons ('org.apache.commons:commons-collections4:4.1')  { transitive = false }

 

public static Workbook create(InputStream in) throws     
    IOException,InvalidFormatException {
        if (!in.markSupported()) {
            in = new PushbackInputStream(in, 8);
        }
        InputStream is = FileMagic.prepareToCheckMagic(in);
        FileMagic fm = FileMagic.valueOf(is);
        switch(fm) {
        case OLE2:
            return new HSSFWorkbook(in);
        case OOXML:
            return new XSSFWorkbook(OPCPackage.open(is));
        default:
            throw new IllegalArgumentException("你的excel版本目前poi解析不了");
        }
    }

洪武
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java实验63怎么写_三十五、Java中常见解析Excel引入的XXE组件复现与分析
weixin_35286137的博客
02-28 153
实验准备1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:注:实验环境中没有安装Excel不能直接创建,方法供参考。新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx 同样新建excel文件 t...
[漏洞复现]Apache POI < 3.10.1 XXE(CVE-2014-3529)
k5664524的博客
01-16 1449
Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。
java导入excel组件_三十五、Java中常见解析Excel引入的XXE组件复现与分析
weixin_35696112的博客
02-25 722
实验准备1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:注:实验环境中没有安装Excel不能直接创建,方法供参考。新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx同样新建excel文件 te...
XXE
anlalu233的博客
10-18 157
https://blog.csdn.net/u012991692/article/details/80866826 https://www.cnblogs.com/lcamry/p/5736998.html https://blog.csdn.net/u011721501/article/details/43775691
利用EXCEL进行XXE攻击
weixin_50464560的博客
02-07 3750
0x00 前言 XML外部实体攻击非常常见,特别是通过基于HTTP的API,我们经常遇到并利用以此通常获得对客户端环境的特权访问。 不常见的是用Excel进行XXE攻击。 0x01 这是什么方式 实际上,与所有post-Office 2007文件格式一样,现代Excel文件实际上只是XML文档的zip文件。这称为Office Open XML格式或OOXML。 许多应用程序允许上传文件。有些...
Poi HSSFCellStyle.ALIGN_CENTER VERTICAL_CENTER 等爆红的解决办法
Tongyao
05-31 3293
Apache POI是画excel工具,大家在接收旧代码时会出现以下问题: HSSFCellStyle.ALIGN_CENTER HSSFCellStyle.VERTICAL_CENTER 等爆红 原因是版本出错: <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi-ooxml</artifactId> <version>4.1.2<
测试XXE注入.docx
09-06
测试 XXE 注入 XXE 注入(XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 ...
信息安全_xxe注入应用与拓展.pptx
08-14
XXE注入详解】 XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,...
WEB安全之XXE实体注入漏洞.pdf
12-12
2. 对XML数据进行转义,防止恶意数据注入。 3. 采用安全的XML处理库,并保持其更新以修复已知漏洞。 总之,理解和防范XXE漏洞对于维护Web应用的安全至关重要。开发人员应确保正确处理XML输入,限制XML解析器的功能...
测试XXE注入(1).xmind
11-25
测试XXE注入(1).xmind
[漏洞复现]Apache POI < 3(2),网络安全面试必问
最新发布
2401_84185471的博客
04-10 264
Apache POI 3.10.1 之前的 OPC SAX 设置允许远程攻击者通过 OpenXML 文件读取任意文件,该文件包含与 XML 外部实体 (XXE) 问题相关的 XML 外部实体声明和实体引用。对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!创建一个**[Content_Types].xml文件和xxe.dtd文件注意名字不可修改**因篇幅有限,仅展示部分资料。
记录一个poi操作excel,new HSSFWorkbook(inputStream)各种报错
m0_37767127的博客
06-05 514
poi操作excel报错
使用Ant design vue实现Excel的上传及读取
weixin_45323139的博客
01-09 3435
1、使用组件 Ant design vue自带上传文件组件,accept限制上传的文件类型 其中action是上传的地址,但是使用action的话,会没有token,项目中出现验证的话就会不可用,这里使用customRequest,它的作用是覆盖默认的上传行为,自定义上传 这里为什么用FormData而不是直接使用info.file,是因为info.file是字符串而不是文件类型,为什么这么用,我也不太清楚,能用就行出现这样的类型,代表传给后台的是文件2、后台实现pom引用 实现
Java中利用EXCEL进行XXE攻击
weixin_42296449的博客
03-31 3329
Java中常见解析Excel引入的XXE组件复现与分析 新建excel文件 修改后缀为.zip 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC 重新修改后缀为 .xlsx 结果发现 直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生 修复方案 是在此处增加了一个SAXHelper类来进行防御处理 Apache POI,受影响...
java异常resolveExce_Apache POI操作Excel的坑
weixin_40008644的博客
02-28 635
本文记录一下用Apache POI操作Excel时可能遇到一些坑。excel版本错误首先是excel版本问题,由于office excel 03版和07版的区别,在读取文件时如果版本不匹配会报以下错误。org.apache.poi.poifs.filesystem.NotOLE2FileException: Invalid header signature; read 0x001000000006...
文件上传xlsx之XXE漏洞
LAngle9的博客
11-18 2099
1 新建一个excel文件2 修改后缀名为.zip格式3解压缩出文件夹4 文件结构如下,可以进行修改,给excel添加一些功能键可结合VBA添加事件。5修改完成后,全选文件,进行压缩。注:不要选sss文件夹来压缩,要全选文件。6 压缩文件格式选择.zip格式。7产生压缩文件8 修改后缀名9 打开文件成功,看到之前在。excel 修改设置(将excel修改后缀名,解压缩方式)_下雨了620的博客-CSDN博客_excel改为rar后没有xl。使用BURP的dnslog地址看是是否有回显。
webug4.0xxe注入
07-27
XXE(XML External Entity)注入是一种攻击技术,用于利用应用程序对外部实体的处理不当。通过在用户提供的输入中插入恶意的实体引用,攻击者可以读取本地文件、执行远程请求等。针对这种注入漏洞,应用程序应该对...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值