java xxe漏洞利用_关于Java 中 XXE 的利用限制探究

最新推荐文章于 2024-03-14 21:53:42 发布
最新推荐文章于 2024-03-14 21:53:42 发布
阅读量551 收藏 1
点赞数
文章标签: java xxe漏洞利用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33572836/article/details/115100565
版权
本文深入探讨了在Java中遇到无回显的XXE漏洞时如何构造通道传递数据。由于XML解析器的限制,直接使用HTTP协议无法读取含有换行的文件,而FTP协议在某些JDK版本中因URL换行检查导致问题。文章提到了使用CDATA段在有回显场景下读取特殊字符文件的方法,但指出对于有换行的特殊字符文件目前尚无理想解决方案。
摘要由CSDN通过智能技术生成

一般而言,在Java里碰到XXE,如果是有回显的,那自然很好办,如果是没有回显,那就需要我们构造通道来把数据带出,过去在XXE利用中,如果单纯使用HTTP协议(除了作为结尾的CRLF外,不允许出现单独的CR或LF字符),是无法读取具有换行的文件的。比如常用作验证的win.ini文件就有换行

72d321a7f315c0b334b8e92414b44c09.png

如果想把该文件传送出去,将会报错 Illegal character in URL

0b12af02500e011bf2f4a0254ae4fea9.png

在rt.jar!\sun\net\www\http\HttpClient.class中的420行,存在对换行的判断

a68bace925030a2cba856d195c705762.png

这个时候如果是PHP环境,那很好办,给数据编码一下就可以顺利带出,比如base64

%dtd;

%send;

]>

这样,即使文件存在Illegal character也可以带出,但是Java又没有相关编码的协议啊,这时候我们往往会利用FTP协议来向外传递数据,这些数据本身可能包含\r、\n等字符

67571953b16719c44bbee2e4a199d8fb.png

看起来似乎很美好,问题得到了解决,但是,我们往往会碰到一些意外情况,如果文件中有下面这些字符呢

dfb50e3f8ff13ec7afabfcc641540205.png

那将会得到以下报错,实体XXX的声明必须以>结尾

62dcf1f3283ba652572581b319ecefff.png

dtd文件如下:

9de2b0a074d153867975d12f51caa391.png

这是因为xml在解析的时候,会把实体进行替换,带有单引号的文件内容在拼接进字符串之后,单引号与send实体的单引号进行了闭合,然后后面的数据就变成了无效数据

86af83085744185ef965b72fd4b4cdbd.png

如果文件中单引号后面是除了右尖括号>以外的字符,那么就会报实体XXX的声明必须以>结尾的错误

如果单引号后恰巧是右尖括号,那也不行,你后面还是有垃圾数据,顶多报错换一下

5ef89b99065b8c2947dbe9388796b58d.png

那这个时候还有什么办法读取这类的特殊文件呢?

xml在设计的时候就考虑到了这种情况,虽然一般情况下xml要求要使用这些符号最好是把相应字符用对应实体引用来代替,但是如果是不得不用的情况下,可以使用CDATA方法来读取。

CDATA 指的是不应由 XML 解析器进行解析的文本数据(Unparsed Character Data),CDATA 部分中的所有内容都会被解析器忽略。CDATA 部分由结束

让我们对payload进行一下修改:

dtd

">

">

payload

b6761b9bf991af906cc26d0bde51f97f.png

但是其实这种方法是没办法的,因为它还是需要拼接到url里去,依旧会和外部的单引号闭合,如

6011e828157b47c4f80b947c8ce8a52e.png

但是,CDATA方法可以用于xxe有回显的情况,也算是一种不错的方法了。

正常读取无法读取

f2a6b384b6d87466ce4f6a186175cf40.png

使用CDATA方法读取,但是请注意,这种情况还是不够完美,至少对于单独的 & 符号还是没办法

22e5900af91c43357124396f74001dfb.png

除非构成了完整的实体引用格式

4389c36cd337865b7d185257d50b8870.png

另外JDK的版本更迭对使用FTP作为信息传送通道这一个技巧有影响,这也是为什么高版本无法用FTP来读取多行文件,因为FtpURLConnection.class中的static方法checkURL里的var0.toExternalForm().indexOf(10) > -1,此处解析URL并检查URL中是否存在换行符(ascii为10),如果存在则抛出异常

具体checkURL在哪一个版本开始检查换行,笔者没有一个一个去看,有兴趣的读者可以找找看

rt.jar!\sun\net\www\protocol\ftp\FtpURLConnection.class

static URL checkURL(URL var0) throws IllegalArgumentException {

if (var0 != null && var0.toExternalForm().indexOf(10) > -1) {

MalformedURLException var3 = new MalformedURLException("Illegal character in URL");

throw new IllegalArgumentException(var3.getMessage(), var3);

} else {

String var1 = IPAddressUtil.checkAuthority(var0);

if (var1 != null) {

MalformedURLException var2 = new MalformedURLException(var1);

throw new IllegalArgumentException(var2.getMessage(), var2);

} else {

return var0;

}

}

}

总结

总的来说,如果是php环境,那自然是万事大吉,但是在java环境中,如果

有回显(不需要通过URL外带):

1. 普通文件 -> 直接读取回显

2. 带换行文件 -> 直接读取回显

含特殊字符文件 -> CDATA回显3. 含特殊字符且有换行文件 -> CDATA 回显无回显:

1. 普通文件 -> HTTP或者FTP都可以带出

带换行文件 -> FTP带出 3. 含特殊字符文件 -> 。。暂时没好的办法 4. 含特殊字符且有换行的文件 -> 。。暂时没好的办法另外,需要注意JDK版本的影响

合天网安实验室相关实验推荐--XXE漏洞分析与实践

牧羊少年sunny
关注
java --XXE 攻击原理及防御
tryheart的博客
09-05 1989
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集于外部实体,而不要被 XML 其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
java 漏洞挖掘_Java XXE漏洞典型场景分析
weixin_36415835的博客
02-16 1015
本文首发于oppo安全应急响应心:0x01 前言:XML 的解析过程若存在外部实体,若不添加安全的XML解析配置,则XML文档将包含来自外部 URI 的数据。这一行为将导致XML External Entity (XXE) 攻击,从而用于拒绝服务攻击,任意文件读取,扫内网扫描。以前对xxe的认识多停留在php,从代码层面而言,其形成原因及防护措施较为单一,而java依赖于其丰富的库,导致解...
Java代码审计:XXE漏洞
god_Zeo的安全博客
08-19 1099
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 0x01 XXE漏洞简介 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
Java应用的各种XXE
公众号shadow sock7
03-17 390
Java应用在使用XML库的时候特别容易受到XXE影响。因为大多数XML库的默认设置是存在XXE漏洞的。所以想要安全的使用这些XML库,就要显式地在解析器禁用掉XXE。 结论说明 以下引用自:https://www.leadroyal.cn/?p=914 所有的【\r】 都会被替换为【\n】 如果不包含特殊字符,低版本 ftp 可以读多行文件,高版本 ftp 只可以读单行文件,全版本...
java代码审计--xxe
goddemon
09-15 285
常见关键字 Documentbuilder DocumentBuilderFactory SAXReader SAXParser SAXParserFactory SAXBuilder TransformerFactory reqXml getInputStream XMLReaderFactory .newInstance SchemaFactory SAXTransformerFactory javax.xml.bind XMLReader XmlUtils.get Validator java解析
JAVA XXE相关
SHELLCODE_8BIT的博客
03-17 178
111
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
在本节,我们将详细介绍 XXE 漏洞的利用方法,特别是任意文件读取的攻击过程。 一、环境搭建 环境搭建是进行 XXE 漏洞利用的前提。我们可以使用 Virtual Machine(VM)来搭建测试环境。首先,需要下载 ...
SCAN_XXE:利用XML XXE漏洞
05-07
在"SCAN_XXE:利用XML XXE漏洞"的主题,我们将深入探讨这一安全威胁及其防范措施。 XML是可扩展标记语言(eXtensible Markup Language),广泛用于数据交换和配置文件。XML解析器在处理文档时,会识别并处理实体...
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
在本节课程,我们将讨论XXE漏洞的利用方法,特别是任意文件读取的实现。通过学习本节内容,您将掌握XXE漏洞的基本原理和利用方法,从而更好地保护自己的Web应用程序。 1. 测试代码介绍 在开始学习XXE漏洞利用...
java最新漏洞_JavaMelody XXE漏洞(CVE-2018-15531)分析
weixin_30629043的博客
02-25 1634
0x01 背景JavaMelody是一款在生产和QA环境JAVA应用以及应用服务器(Tomcat、Jboss、Weblogic)进行监控的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。近日发布了1.74.0版本,修复了一个XXE漏洞,漏洞编号CVE-2018-15531。攻击者利用漏洞,可以读取JavaMelody服务器上的敏感信息。0x02 漏洞分析漏洞修复的com...
Java代码审计】XXE
网络安全从业者的学习笔记
03-02 846
XXE(XML External Entity),即XML外部实体注入漏洞。XXE漏洞发生于应用程序在解析XML时,没有对恶意内容进行过滤,导致可造成文件读取,命令执行,攻击内网网站,内网端口扫描,进行DOS攻击等危害。 XML(Extensible Markup Language):可扩展标记语言,用来存储及传输信息。
java审计-XXE
admin741admin的博客
04-13 652
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE最常见的就是通用实体和参数实体。
JAVAXXE漏洞线索函数
zz_strive_2012的专栏
08-04 344
XXE审计函数 XML解析一般在导入配置、数据传输接口等场景可能会用到,涉及到XML文件处理的场景可查看XML解析器是否禁用外部实体,从而判断是否存在XXE。部分XML解析接口(常见漏洞出现函数)如下: ...
Java代码审计-XMI注入(XXE
二狗的博客
02-06 1666
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
m0_63138919的博客
03-14 2161
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
java xxe漏洞利用_XXE漏洞攻防原理
weixin_42503415的博客
03-09 953
方便永远是安全的敌人你的知识面,决定你的攻击面1简述XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。而如今越来越多的WEB程序被发现和报告...
java xxe漏洞利用_JAVAXXE漏洞
weixin_30445963的博客
03-09 2066
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
漏洞经验分享丨Java审计之XXE(下)
dfdhxb995397的博客
03-18 291
上篇内容我们介绍了XXE的基础概念和审计函数的相关内容,今天我们将继续分享Blind XXE与OOB-XXE的知识点以及XXE防御方法,希望对大家的学习有所帮助! 上期回顾 ◀漏洞经验分享丨Java审计之XXE(上) Blind XXE Blind XXE与OOB-XXE 一般XXE利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面看到Payload的执行结果...
漏洞经验分享丨Java审计之XXE(上)
dfdhxb995397的博客
03-13 347
最近在审计公司的某个项目时(Java方面),发现了几个有意思的Blind XXE漏洞,我觉得有必要分享给大家,尤其是Java审计新手,了解这些内容可以让你少走一些弯路。 Java总体常出现的审计漏洞如下: >SQL注入 >XSS >CSRF >XXE >SSRF >CRLF注入 >远程命令执行 >反序列化 >文件上...
XXE漏洞利用详解:任意文件读取技巧
"本资源主要讲解了XXE(XML External Entity)漏洞的利用,特别是如何进行任意文件读取的攻击手法。" 在Web安全领域,XXE(XML External Entity)漏洞是一种常见且危险的安全问题,它发生在应用程序解析XML输入时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值