Web渗透(十一)XML注入(XXE)

最新推荐文章于 2024-03-23 10:00:27 发布
VIP文章 最新推荐文章于 2024-03-23 10:00:27 发布
阅读量1.8k 收藏 8
点赞数 2
分类专栏: 白帽子讲Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39157582/article/details/108707215
版权

@TOC

0x00 前言

0x01 XML和DTD

XXE漏洞全程为XML External Entity Injection ,也就是XML外部实体注入漏洞

1、什么是XML?

百度百科

可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。

简单来说,它是一种语言,表现形式类似于HTML(超文本标记语言) ,而XML和HTML的差别在于,HTML是用于展示数据和页面,而XML是为了更好的存储和传输数据。

HTML的容错能力使得格式可以不必十分规范,例如有时可能忘记闭合标签了也不会出错。而XML语法就严格很多。

所有的XML文档均由以下简单的构建模块构成:

  • 元素
  • 属性
  • 实体
  • DATA
1.1、元素
<元素名></元素名>

举个例子,下面代码中有两个元素,bodymessage,其中body的值为123message的值为abc

<body>123</body>
<message>abc</message>
1.2、属性

属性可提供有关元素的额外信息

属性总是被置于某元素的开始标签中。属性总是以名称/值的形式成对出现的。下面的 “img” 元素拥有关于源文件的额外信息:

<img src="study.gif" />

元素的名称是 “img” 。属性的名称是 “src”。属性的值是 “study.gif” 。由于元素本身为空,它被一个 “/” 关闭。

1.3、实体

实体是用来定义普通文本的变量,在XML中的格式如下:

<元素名>&实体名;</元素名>

&开头,中间是名字,以 ; 结尾

那怎么理解实体呢?

简单来说,就相当于我们学C语言的时候,定义一个变量,并给该变量赋值,以后我们就通过该变量名来引用值

举个例子,我们在xml中,定义了一个变量名为&lt;,给它赋值为<,那么我们使用&lt;的时候,就相当于用<了。

那么为什么不直接使用<,而用&lt;替代呢?很简单,因为<和xml语法规则冲突了,解析器会把<当作新元素的开始,举个例子:

正常来说,我们在xml中定义一个元素如下:

<body>if salary = 100 then</body>

现在我们要修改body的值为if salary < 100 then,难道我们要这样改?

<body>if salary < 100 then</body>

如果按照上面的改法,<都不配对了,都不满足xml的元素格式了。

所以改成下面这个样子,就不会和语法冲突了

<body>if salary &lt; 100 then</body>

当上面的xml被解析的时候,&lt;就会被替换成<了。

XML预定义了下面五个实体引用,当文档被XML解析器解析时,实体就会被展开。

实体引用 字符
&lt; <
&gt; >
&amp; &
&quot; "
&apos;

当然,最重要的一点是,我们可以使用DTD声明使用实体!!

1.4、DATA(字符数据)

可把数据理解为XML元素的开始标签与结束标签之间的文本。

除了CDATA区段中的文本会被解析器忽略之外,XML文档中的其他文本均会被解析器解析。

所以可以把数据分成可以解析的和不能解析两种。

1.4.1、PCDATA

PCDATA的意思是被解析的字符数据(parsed character data)

PCDATA是会被XML解析器解析的文本,文本中的标签会被当作标记来处理,而实体会被展开。

简单来说,就是当某个XML元素被解析时,其标签之间的文本也会被解析,如下:

<name> <first>Bill</first><last>Gates</last> </name>
// <name> 元素包含着另外的两个元素(first 和 last)

解析器会把它分解为像这样的子元素:

<name>
    <first>Bill</first>
    <last>Gates</last>
</name>

也正因为如此,如果被解析的字符数据中包含&<、或者>之类的字符,则需要使用&amp;&lt;以及&gt;实体来分别代替它们。

1.4.2、CDATA

CDATA的意思是字符数据(character data)

在XML中,指定某段内容不必被XML解析器解析时,使用<![CDATA[...]]>。也就是说中括号中的内容,解析器不会去分析。所以其中可以包含><'"&这五个特殊字符。经常把一段程序代码嵌入到<![CDATA[...]]>中。因为代码中可能包含大量的><'"这样的特殊字符。

例如在XML中声明:

<script>
	<![CDATA[
		if(i<10){
    
			printf("i<10");
		}
	]>
</script>

2、什么是DTD?

在XML中DTD(文档类型定义) 的作用是定义XML文档的合法构建模块。它使用一系列合法的元素来 定义文档的结构。

DTD文件对当前XML文档中的节点进行了定义,这样我们配置文件之前,可通过指定的DTD对当前XML中的节点进行检查,确定XML结构和数据类型是否合法。

DTD(文档类型定义)部分,规定了文档元素里的数据类型,以及可以出现哪些元素。

简单来说,DTD就是定义了我们的XML长啥样子!

2.1、元素

在DTD中,XML的元素通过元素声明来进行声明。元素声明使用下面的语法:

<!ELEMENT 元素名 类别><!ELEMENT 元素名(子元素)>
2.2、空元素

空元素通过类别关键词EMPTY进行声明:

<!ELEMENT element-name EMPTY>
例子如下:

DTD:
<!ELEMENT br EMPTY>

XML:
<br/>
2.3、只有PCDATA的元素

只有PCDATA的元素通过圆括号中的 #PCDATA 进行声明:

<!ELEMENT element-name (#PCDATA)>

例子如下:
<!ELEMENT from (#PCDATA)>
2.4、带有任何内容的元素

通过类别关键词ANY声明的元素,可包含任何可解析数据的组合:

<!ELEMENT element-name ANY>

例子如下:
<!ELEMENT note ANY>
2.5、带有子元素(序列)的元素

带有一个或多个子元素的元素通过圆括号中的子元素名进行声明:

<!ELEMENT element-name (child1)><!ELEMENT element-name (child1,child2,...)>

例子如下:
<!ELEMENT note (to,from,heading,body)>

当子元素按照由逗号分隔开的序列进行声明时,这些子元素必须按照相同的顺序出现在文档中。在一个完整的声明中,子元素也必须被声明,同时子元素也可拥有子元素。"note"元素的完整声明是:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEENT body (#PCDATA)>

3、DOCTYPE

3.1、内部DO
最低0.47元/天 解锁文章
三体-二向箔
关注
  • 2
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
DVWA靶场系列(六)—— XSS(跨站脚本攻击)
qq_45612828的博客
08-02 2446
DVWA靶场系列(六)—— XSS(跨站脚本攻击)
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-17 5798
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
XXE详解
最新发布
qq_51780583的博客
03-23 979
XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
ubuntu中运用docker搭建dvwa漏洞靶场环境
laujade的博客
11-27 2236
实验用到的工具 ubuntu 火狐浏览器 xshell5 docker环境 第一步 打开ubuntu系统,xshell登陆账号密码连接。 第二步 下载lamp映像 docker pull vuldocker/lamp 查看映像是否下载成功 docker images 注意:vuldocker/lamp映像包括(php+apache+mysql),只需要下载dvwa源码即可,后面给出dvwa源...
Web安全 学习日记5 - SQL盲注 和 报错注入 (DVWA)
qq_46081990的博客
03-11 408
在SQL注入过程中,SQL语句执行查询后,查询数据不能回显到前端页面中,需要使用一些特殊的方式来判断,这个过程成为盲注。
通过DVWA学习DOM型XSS
Mi1k7ea
01-02 3957
下了个新版的DVWA看了下,发现新增了好几个Web漏洞类型,就玩一下顺便做下笔记,完善一下之前那篇很水的DOM XSS文章,虽然这个也很水 :) 基本概念 DOM,全称Document Object Model,是一个平台和语言都中立的接口,可以使程序和脚本能够动态访问和更新文档的内容、结构以及样式。 DOM型XSS其实是一种特殊类型的反射型XSS,它是基于DOM文档对象模型的一种漏洞,其触...
超全的Web渗透自我学习资料合集(64篇).zip
09-30
web渗透: XXE外部实体注入 web渗透: 服务器端包含注入(SSI注入web渗透: XPath注入 web渗透: 命令注入 web渗透: HTTP响应头拆分漏洞 web渗透: LDAP注入 web渗透: ORM注入 web渗透: Json劫持Json注入 web渗透: 宽...
web渗透系列教学下载共64份.zip
12-30
web渗透--24--XXE外部实体注入.pdf web渗透--25--服务器端包含注入(SSI注入).pdf web渗透--26--XPath注入.pdf web渗透--27--命令注入.pdf web渗透--28--HTTP响应头拆分漏洞.pdf web渗透--29--LDAP注入.pdf web渗透...
信息安全_xxe注入应用与拓展.pptx
08-14
什么是XXE 什么地方可能存在XXE Zend框架 Xml-rpc模块的xxe Springmvc里的xxe slim框架里的xxe 解析docx文件 XXE能干嘛 XXE怎么去读文件 XXE注入外带数据回显 XXE怎么去修复
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
web网络安全系统搭建代码DVWA.zip
10-07
Web应用程序(DVWA)是一个很容易受到攻击的PHP / MySQL Web应用程序。其主要目标是帮助安全专业人员在法律环境中测试他们的技能和工具,是一个web安全学习神器。本次针对DVWA进行简单部署。
buuctf 刷题 6(WEB-INF/web.xml&&&&Smarty模板注入&&py脚本编写)
weixin_63231007的博客
05-25 690
[RoarCTF 2019]Easy Java 进去页面,得到一个登录框。因为题目是java,应该不是sql注入, 点开help,看见: filename参数可控 。没做过相应的java安全题目。看其他师傅题解可知,可能存在文件下载漏洞 url 栏里get传入WEB-INF/web.xml。无果,post传入意外发现可以下载文件。 下载存有web信息的XML文件:WEB-INF/web.xml 查看文件内容,文件里内容有: <servlet> &l
webservice XML实体注入漏洞解决方案
qq_25446311的博客
11-03 3941
漏洞描述 目标存在webservice XML实体注入漏洞。XML是可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 解决方案 (1) 关闭XML解解析函数的外部实体。 在生成x
XXE靶机
haha1314的博客
08-10 681
一、 收集信息 存活主机 开放端口 存在注入 Post包里面添加 <?xml version=“1.0″ encoding=“UTF-8″?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "file:///etc/passwd"> ]> <root><n...
DVWA-1.10全级别教程之File Inclusion(学习笔记)
大方子
08-22 1万+
根据原创作者:lonehand进行更改,来自FreeBuf.COM 目前,最新的DVWA已经更新到1.9版本(http://www.dvwa.co.uk/),而网上的教程大多停留在旧版本,且没有针对DVWA high级别的教程,因此萌发了一个撰写新手教程的想法,错误的地方还请大家指正。DVWA简介 DVWA(Damn Vulnerable Web Application)是一个用来进行安全脆弱性鉴...
XXE 从入门到放弃
江南小虫虫的博客
02-13 1563
0x00 前言 如果各位表哥表姐已经懂得啥是 XML, DTD, 那么可以直接从0x02 什么是 XXE?开始看; 如果你只是大概知道啥是 XML , 那么我建议你从头开始看! 0x01 XML 与 DTD XXE漏洞全程为XML External Entity Injection, 也就是XML外部实体注入漏洞。 显然, 这个漏洞和 XML 有关(废话), 那第一步, 先了解什么是XML。 什么...
2. DVWA亲测文件包含漏洞
weixin_30740295的博客
05-14 283
Low级: 我们分别点击这几个file.php文件 仅仅是配置参数的变化: http://127.0.0.1/DVWA/vulnerabilities/fi/?page=file3....
XXE漏洞详解(XML外部实体注入)
热门推荐
谢公子的博客
01-12 1万+
目录 XXE XXE漏洞演示利用 Blind OOB XXE 场景1 – 端口扫描 场景2 – 通过DTD窃取文件 场景3 – 远程代码执行 XXE漏洞的挖掘 XXE的防御 在学习XXE漏洞之前,我们先了解下XML。传送门——>XML和JSON数据格式 那么什么是XXE漏洞呢? XXE XXE(XML ExternalEntity Injection)也就是XML...
xml 实体执行命令java xxe
01-07
XML实体执行命令漏洞(XML External Entity,简称XXE),是指在XML文档的解析过程中,利用实体注入技术来执行恶意命令的一种攻击方式。对于该问题,以下是一个用300字中文回答: XML实体执行命令java xxe是一种漏洞攻击方式。当解析XML时,攻击者通过在XML文档中注入带有恶意代码的实体,可以导致服务器执行恶意命令或读取敏感数据。 在Java中,XXE漏洞可以通过DocumentBuilderFactory解析XML时使用的解析器特性(如“<!DOCTYPE”、“DOCTYPE”和“<ENTITY>”等)来注入实体。攻击者可以构造恶意的XML文档,通过实体注入技术注入包含恶意代码的外部资源引用。当XML文档被解析时,解析器会尝试从外部资源加载实体,如果攻击者在外部资源中包含了一些系统命令,那么这些命令就会被执行。 为防止XXE漏洞,应对输入进行合理过滤和安全处理。可采取以下几种防护措施:1.禁止或限制解析器使用外部实体和外部DTD文件。2.使用安全的解析器,如Woodstox、SAX、SAXON等,它们可以禁用外部实体和DTD。3.对输入进行严格的验证和过滤,确保只接受合法的XML数据。4.采用白名单机制,限制允许的XML元素、属性和实体。 总之,通过对输入进行严格验证和过滤,禁用或限制外部实体和DTD,选择安全的解析器等措施,可以有效防范XML实体执行命令java xxe漏洞带来的危害。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值