java实验63怎么写_三十五、Java中常见解析Excel引入的XXE组件复现与分析

最新推荐文章于 2022-07-13 20:11:12 发布
最新推荐文章于 2022-07-13 20:11:12 发布
阅读量161 收藏
点赞数
文章标签: java实验63怎么写
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_35286137/article/details/114894914
版权
本文介绍了如何复现和分析Java在使用Apache POI、Excel-Streaming-Reader和Tika组件解析Excel时引入的XXE漏洞。通过修改Excel文件的XML内容插入POC,然后详细展示了Apache POI中漏洞产生的调用链,指出SAXReader解析XML时的缺陷,并提到修复方案涉及SAXHelper类的防御处理。
摘要由CSDN通过智能技术生成

实验准备

1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:

注:实验环境中没有安装Excel不能直接创建,方法供参考。

新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件中,修改[Content_Types].xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx

beeb4a483ec55487dbd38729065d39c7.png

同样新建excel文件 test2.xlsx -> 修改后缀为.zip -> 在zip文件中,修改 /xl/workbook.xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx

9219d20703c58835b093758e3556cfa1.png

同样新建excel文件 test3.xlsx -> 修改后缀为.zip -> 在zip文件中,修改 /xl/worksheets/shee1.xml,在其中加入XXE验证POC -> 重新修改后缀为 .xlsx

594f0dfb6390264690cefd696795acd2.png

2)在实验开始之前,我们已经安装好了存在漏洞的组件,版本信息分别为:

Apache POI:poi-ooxml-3.10-FINAL

Excel-Streaming-Reader:2.0.0

Tika:tika-app-1.12

下面实验分别对以上三种组件解析Excel引入XXE漏洞进行复现并分析漏洞产生原因。

实验任务一:Apache POI,受影响版本:poi-ooxml-3.10-FINAL 及其以下版本

示例代码如下:

352cb1a86e04c46293c5136424e1f06b.png

运行代码,触发漏洞如下:

40246115c5c6573a7e3784943e9a1b68.png

我们在 WorkbookFactory.create() 下断点调试,当进入执行 init 初始化方法时,以zip方式将文件信息传入 OPCPackage.open() 方法,

然后跟进调用链,如下:

pack.getParts() -> this.getPartsImpl() -> new ZipContentTypeManager(getZipArchive().getInputStream(entry),this) -> parseContentTypesFile(in)

发现是直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生

cc3fc3db467bba8040486cbdaf144091.png

而修复方案,则是在此处增加了一个SAXHelper类来进行防御处理(位置在poi-ooxml-3.10.1.jar!/org/apache/poi/util/SAXHelper.class)

15a80dbc8e6b23d571a640894debb978.png

暗夜独舞春上雪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java利用EXCEL进行XXE攻击
weixin_42296449的博客
03-31 3360
Java常见解析Excel引入XXE组件复现分析 新建excel文件 修改后缀为.zipzip文件修改[Content_Types].xml,在其加入XXE验证POC 重新修改后缀为 .xlsx 结果发现 直接通过 SAXReader 来解析xml文档,导致xxe漏洞的产生 修复方案 是在此处增加了一个SAXHelper类来进行防御处理 Apache POI,受影响...
java 解析excle_JAVA解析Excel
weixin_28711397的博客
02-13 131
importjava.io.File;importjava.io.FileInputStream;importjava.io.IOException;importjava.io.InputStream;importjava.sql.Connection;importjava.sql.PreparedStatement;importjava.sql.SQLException;impor...
java导入excel组件_三十五Java常见解析Excel引入XXE组件复现分析
weixin_35696112的博客
02-25 728
实验准备1)在实验开始之前,我们已经在C盘根目录准备好了实验需要用到的POC验证excel文件,如下:注:实验环境没有安装Excel不能直接创建,方法供参考。新建excel文件 test1.xlsx -> 修改后缀为.zip -> 在zip文件修改[Content_Types].xml,在其加入XXE验证POC -> 重新修改后缀为 .xlsx同样新建excel文件 te...
JAVA编码(61)—— 解析Excel文件 xls、xlsx
weixin_30340775的博客
03-09 338
package com.sinosoft.smallmicro.service.impl.smallmicro; import java.io.IOException; import java.io.InputStream; import java.text.ParseException; import java.util.ArrayList; import java.util....
excel 导入数据,xxe 注入 poi 3.15
u011820505的博客
04-27 2421
问题:xxe是xml为载体,xlsx就是含有xml的 构造的是一个带有攻击代码的xlsx文件,里面带有一个我自定义的域名,后台解析后,访问了我指定的这个域名,说明注入成功 解决: poi之前是3.9 升级到3.15以上 所需jaroftenUsed ('org.apache.poi:poi:3.17') { transitive = false } ...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
Java CTF夺旗:反编译、XXE与反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击、反序列化...
JAVA XML 解析
05-14
Java,处理XML文件是常见的任务,涉及到多个API和库,如DOM、SAX、StAX和JAXB。本教程将深入探讨Java的XML解析技术。 1. DOM解析: DOM(Document Object Model)是一种将XML文档转换为内存树结构的解析方法...
java-sec-code:基于springboot和spring security的Java Web常见漏洞和安全代码
02-03
Java秒代码Java sec代码是用于学习Java漏洞代码的非常强大且友好的项目。介绍该项目也可以称为Java漏洞代码。 除非没有漏洞,否则默认情况下,每个漏洞类型代码都有一个安全漏洞。 相关的修订代码在注释或代码。 ...
利用EXCEL进行XXE攻击
weixin_50464560的博客
02-07 3929
0x00 前言 XML外部实体攻击非常常见,特别是通过基于HTTP的API,我们经常遇到并利用以此通常获得对客户端环境的特权访问。 不常见的是用Excel进行XXE攻击。 0x01 这是什么方式 实际上,与所有post-Office 2007文件格式一样,现代Excel文件实际上只是XML文档的zip文件。这称为Office Open XML格式或OOXML。 许多应用程序允许上传文件。有些...
一篇文章读懂Java代码审计之XXE
Summer's blog
05-13 1万+
前言   学习总结Java审计过程笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
XXE漏洞详解 一文了解XXE漏洞
闵行小鱼塘
11-10 3608
本篇总结归纳XXE漏洞
Java解析Excel文件
qq_55897122的博客
07-13 9931
步入正题,我们在Java应用程序的开发过程碰到Excel类型的文件时(*.xlsx),我们需要对其进行解析(导入)或生成(导出)。 目前,在Java技术生态圈,可以进行Excel文件处理的主流技术包括: Apache POI、JXL、Alibaba EasyExcel等。其Apache POI基于DOM方式进行解析,将文件直接加载内存,所以速度较快,适合Excel文件数据量不大的应用场景; Alibaba EasyExcel采用逐行读取的解析模式,将每一行的解
Java代码审计:XXE漏洞
god_Zeo的安全博客
08-19 1067
0x00 前提 Java 代码审计自学:主要自己一个人学习,有点闭门造车,搜索引擎学习法,但是还是记录一下,也分享一下,也便于将来的总结和反思,如果我能终能学到什么,我也会重新梳理思路,为那些自学者提供一个好的思路,所以有了下面的系列文章java代码审计自学篇。 0x01 XXE漏洞简介 XXE(XML外部实体注入,XML External Entity) ,在应用程序解析XML输入时,当允许引用外部实体时,可构造恶意内容,导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等
文件读取 xxe_XXE
weixin_36165398的博客
01-14 736
一、 XXE是什么?有哪些危害?XML外部实体,允许XML引用外部数据作为变量。形式如下。]><user><username>&xxe;username><password>adminpassword>user>由于外部实体允许多种协议,所以XXE等同于任意文件读取+SSRFXXE靶场https://github....
JavaMelody组件XXE漏洞解析
热门推荐
Exploit的小站~
05-10 1万+
====================================================== 转载原处:https://mp.weixin.qq.com/s/Tca3GGPCIc7FZaubUTh18Q 微信公众号:EnsecTeam(欢迎关注) ====================================================== 0x00 概述 ...
JAVA CTF夺旗:反编译、XXE与反序列化技巧解析
"这篇资源主要讨论了CTF(Capture The Flag)比赛JAVA相关考点,包括反编译、XXE(XML External Entity)攻击、反序列化漏洞,并提供了多个源码泄露的情况,以及如何利用这些漏洞获取敏感信息。文章提到了Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值