WebGoat 8.0 XXE注入 解题思路

最新推荐文章于 2024-07-25 20:54:44 发布
最新推荐文章于 2024-07-25 20:54:44 发布
阅读量4.3k 收藏 7
点赞数 1
分类专栏: # webgoat
版权声明:本文为 Abracadabra(爱博客大伯) 原创文章,遵循 CC BY-NC-ND 4.0 版权协议(署名-非商业使用-禁止演绎),转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013553529/article/details/82795037
版权

WebGoat 8.0 XXE注入 解题思路

★ 题目

地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/XXE.lesson/2

在这里插入图片描述

★ XXE 注入攻击是什么

XXE 是 XML External Entity的缩写。

XXE注入攻击,发生在一些配置较弱的XML解析器中。XXE攻击可以导致隐私数据泄露、拒绝服务、服务端请求伪造、端口扫描等问题。

OSWASP 中关于 XXE attack的说明: https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing

★ XML Entity语法

参考: http://www.w3school.com.cn/dtd/dtd_entities.asp

  • 内部实体声明
    语法:<!ENTITY 实体名称 "实体的值">

例子:
DTD 中定义(当然DTD的规则可以写道XML文件中):

<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">

XML 中引用Entity:

<author>&writer;&copyright;</author>

注释: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (?。

  • 外部实体声明
    语法:<!ENTITY 实体名称 SYSTEM "URI/URL">

例子:
DTD 中定义(当然DTD的规则可以写道XML文件中):

<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">

XML 中引用Entity:

<author>&writer;&copyright;</author>

WebGoat XXE 题目中用到的是外部实体声明

★ 解题思路

  1. 需要用Burpsuite来截取HTTP请求,并修改其中的xml数据。
  2. 将xml数据中添加XML entity,并采用file:///的方式获取根目录的文件

最终修改xml的内容为下面的内容,才通过了此题。

<?xml version="1.0"?><!DOCTYPE my [<!ENTITY root SYSTEM "file:///C:/">]><comment><text>&root;</text></comment>

其中,DOCTYPE my的名字可以是其他字符串,而不必是myENTITY root的名字可以是其他字符串,而不必是root。不过命名规则最好不要违反XML的要求。

需要说明的是,如果采用"file:///",在windows系统中会出现如下异常:

javax.xml.bind.UnmarshalExceptionn - with linked exception:n[javax.xml.stream.XMLStreamException: ParseError at [row,col]:[27,12]nMessage: 1 u5B57u8282u7684 UTF-8 u5E8Fu5217u7684u5B57u8282 1 u65E0u6548u3002]

异常的详细内容,参考这个链接

在Windows中,需要采用"file:///C:/"这种方式访问C盘目录,最好确保这个目录下没有中日韩文的文件名、目录名。
在Linux中,可以采用"file:///"

★ 参考

(1)WebGoat源码审计之XXE注入: https://bbs.ichunqiu.com/thread-39504-1-1.html
(2)DTD - 实体: http://www.w3school.com.cn/dtd/dtd_entities.asp
(3) XML 命名规则: http://www.w3school.com.cn/xml/xml_elements.asp

XML 元素必须遵循以下命名规则:

名称可以含字母、数字以及其他的字符
名称不能以数字或者标点符号开始
名称不能以字符 “xml”(或者 XML、Xml)开始
名称不能包含空格

可使用任何名称,没有保留的字词。

相关系列文章:

WebGoat SQL注入之 Order by注入解题思路
WebGoat SQL注入解题思路
WebGoat SQL盲注 解题思路
WebGoat 8.0 XXE注入 解题思路

爱博客大伯
关注
专栏目录
XXE漏洞利用技巧(XML注入):从XML到远程代码执行
墨痕诉清风的博客
10-12 4884
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 787
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
WebGoat8 M17 XXE思路、题解与答案
伊维泽诺流浪记
02-27 2018
目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language),可扩展标记语言,是一种用于标记电子文件,使其具有结构性的标记语言,可以用来标记数据,定义数据类型。与HTML不同:HTML被设计...
vulnhub-xxe靶场(XXE漏洞最细攻略)
最新发布
2301_76631050的博客
07-25 704
看不懂,但是 是flag.php里的内容,猜测是php代码,用自己的网站查看,在自己得WWW目录下创建.php文件把内容粘贴到里面,不要忘记加
WebGoat 8安装、配置、使用教程(CentOS)
weixin_33725722的博客
04-19 2620
一、说明 1.1 背景说明 之前只用过dvwa,听说WebGoat也是类似的平台后,想装来试试有没有什么异同。 看了下载文件,和网上官方的、非官方的安装教程,感觉很多都对不上; 最后发现WebGoat 8是几天前才发布的,网上官方的、非官方的安装教程都是针对的WebGoat 7或更前面的版本,所以这里根据自己的步骤整理了一篇教程。 (应该是因为webgoat8是使用spring boot框架开发的...
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2372
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体,外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
Webgoat --XEE
hee_mee的博客
06-15 502
ZeroNIl
Web安全攻防靶场之WebGoat8 - Developer Tools
u013650297的博客
01-22 408
Web安全攻防靶场之WebGoat8 - Developer Tools Developer Tools 谷歌浏览器开发工具 使用谷歌浏览器F12 打开控制台Console tab 在控制台选项卡中,您可以看到加载的JavaScript文件可能已经打印到其中的任何内容。如果你看到红色的东西不要担心。虽然这是一个错误,但它可能已经自行解决了。通过console选项卡,您还可以运行自己的JavaScript代码行 在首先使用快捷键CTRL+L清除console 在控制台中输入js webgoat.custom
WebGoat8-xxe注入漏洞分析
09-15
下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 XXE 注入漏洞的工作原理 XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体是 XML 1.0 中的一种...
webgoat-server-8.0.0.M17
09-02
webgoat-server-8.0.0.M17
WebGoat漏洞测试平台分析.zip
03-12
WebGoat漏洞测试平台分析
WebGoat教程解析
05-09
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。
WebGoat v8.0打靶笔记
m0_60716947的博客
05-23 1113
(一)环境的配置 这里用的时vm中的kali虚拟机安装的,建议以root身份来运行 (1)安装docker kali安装docker环境_欧晨eli的博客-CSDN博客_kali安装docker (2)WebGoat获取 sudo docker pull webgoat/webgoat-8.0 sudo docker pull webgoat/webwolf sudo docker pull webgoat/goatandwolf 之后输入 docker images, (3)burp
WebGoat8 M17 XSS 答案、题解
伊维泽诺流浪记
03-09 1683
目录 XSS简介 题目2:Try It! Using Chrome or Firefox 题目7:Try It! Reflected XSS 题目10:Ientify Potential for DOM-Based XSS 题目11:Try It! DOM-Based XSS 题目13:又是这只衣架猫 XSS简介 XSS(Cross-Site Scripting)...
webgoat- XML External Entity-XXE-XML实体注入
seanyang_的博客
11-01 983
XML 外部实体攻击是针对解析 XML 输入的应用程序的一种攻击。当包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理时,就会发生此攻击。这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描以及其他系统影响。攻击可能包括使用 file: 方案或系统标识符中的相对路径来泄露本地文件,其中可能包含密码或私人用户数据等敏感数据。
Webgoat8通关笔记(1)
weixin_44689968的博客
06-01 3442
(A1)SQL Injection(intro) X-02 本题:查看示例表,尝试检索员工Bob Franco所在部门。主要考察sql语句的查询 (1)select department from employees where first_name=‘Bob’; (2)select department from employees where last_name=‘Franco’; x-03 本题:把‘Tobi Barnett’的部门改成销售部。 update employees set departm
WebGoat8 M17 General 攻略答案
伊维泽诺流浪记
03-11 1165
General HTTP Basics 2 随便输名字就行 3 用Firefox或者Chrome,F12查看方法和表单参数的magic_num 方法是POST,magic_number是随机的 HTTP Proxies 6 抓Submit的包,按他的要求改 ...
javaweb-webgoat8靶场+漏洞产生
xiaoheizi的博客
06-26 705
用户登录成功后,服务端通过jwt生成一个随机token给用户(服务端无需保留token),以后用户再来访问时需携带token,服务端接收到token之后,通过jwt对token进行校验是否超时、是否合法。因为网站是根据键值对在数据库对用户的输入进行验证的,所以我们可以修改一个数据库不存在的键值对编号让值为null来绕过登录。比如:网站的上传头像的目录设置了不允许执行程序文件,只允许查看头像,我们上传的脚本文件就执行不了。在爆破脚本中写入要爆破的token,运行爆破脚本,成功爆破出密匙:shipping。
vulnhub-XXE ctf安全真题
weixin_61951055的博客
07-28 1019
vulnhub-XXE ctf安全真题
WebGoat8实验:XXE注入漏洞详解与利用
"WebGoat8是一个用于教育和练习安全漏洞的在线平台,特别是关于XXE(XML External Entity)注入的教程。XXE漏洞允许攻击者通过利用不安全的XML解析器来读取服务器上的文件、执行DoS攻击或者进行盲XXE攻击。本文档...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值