python解析外部实体_详解XXE外部实体注入攻击

最新推荐文章于 2022-03-22 10:23:40 发布
最新推荐文章于 2022-03-22 10:23:40 发布
阅读量478 收藏 1
点赞数
文章标签: python解析外部实体

XXE(XML External Entity Injection)

定义

XXE(XML External Entity Injection)即XML外部实体注入漏洞,XXE漏洞发送在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,XXE漏洞触发点常常是可上传xml文件的位置,没有对上传的xml文件进行严格的过滤,导致可上传恶意的xml文件。

理解

SQL注入是因为把恶意的SQL语句通过特殊的方式拼接或插入原始语句中,达到让系统执行恶意的SQL语句,从而造成数据泄露等危害;

XXE攻击也属于注入攻击,原理同SQL注入大致一致,无非就是一个是注入的SQL语句,一个注入的是XML语句。

危害

任意文件读取

内网端口探测

命令执行

攻击内网网址

DOS攻击

XML

定义

既然XXE叫做XML的外部实体注入,那什么是XML呢?

XML是一种可扩展的标记语言,主要是用来传输和存储数据的,写法类似于html语言的数据格式文档。

XML和HTML的区别在于,XML用来传输数据,HTML用来显示数据

XML语言没有预定义的标签,允许作者定义自己的标签和自己的结构

语法规则

XML文档必须有一个根元素

XML元素必须有一个关闭标签

XML标签对大小写敏感

XML元素必须被正确的嵌套

XML属性值必须加引导

DTD(Document Type Definition)

跟XML格式相关的叫DTD,DTD的作用是定义XML文档的合法构建模块,声明了XML内容格式规范

DTD有两种声明方式,内部和外部

内部DTD:对XML文档的声明都在XML文档之中

外部DTD:对XML文档的声明都在一个独立的DTD文件(.dtd)中

内部DTD的XML

]>

&writer

内部DTD定义了XML的根元素是“note”,根元素下有一个子元素“body”,而元素body的类型是“#PCDATA”,这样就固定了文档元素的格式内容。

body元素里的&writer是对内部实体的一个引用,输出的时候&writer就会被hello word替换。

外部DTD的XML

]>

外部DTD定义了XML根元素“foo”,子元素“ANY”,表示可以接受任何元素。

使用SYSTEM的引用方式对外部实体“c:/test.dtd”文件引用,&xxe输出是被test.dtd文件内容替换

理解:外部实体可以看作是一个变量

参数实体

看到这里,大概明白了什么是实体,而实体有分为四种,以上内容所用的只是其中一种通用实体

内置实体(Built-in entities)

字符实体(Character entities)

通用实体(General entities)

参数实体(Parameter entities)

内置实体和字符实体都和HTML实体编码类似,有十进制和十六进制;通用实体上文中已经有所了解,我们来看下参数实体。

">

"http://somewhere.example.org/remote.dtd">%an-element; %remote-dtd;

可以看到区别在于实体名前面有个%号,而通用实体是没有的,并且只能在DTD中使用%实体名;参数实体一样可以引用外部DTD,参数实体只能在DTD中使用。

利用方式

任意文件读取

至此,我们完成了一次最简单的XXE复现。我们可以看到,已经成功读取了passwd文件,并且显示出来。

如果没有回显怎么办呢?因为现在的XXE漏洞很少会有回显了

无回显

payload

encode/resource=file:///etc/passwd">%remote;

%send;

]>1234

xml.dtd

%file;'>">

%start;

既然没有回显,就想办法让服务器自己把数据往外带。

思路:写两个外部实体,第一个外部实体请求本地的数据内容,第二个用http协议或者其他协议把请求的数据作为参数传到我们的vps上面。这样就实现了数据外带。

XXE防御

一、使用开发语言提供的禁用外部实体方法

PHP

libxml_disable_entity_loader(true);

Java

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

.setFeature("http://apache.org/xml/features/disallow-doctypedecl",true);

.setFeature("http://xml.org/sax/features/external-generalentities",false)

.setFeature("http://xml.org/sax/features/external-parameterentities",false);

Python

from lxml importetree

xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

二、黑名单过滤关键字

过滤用户提交的XML数据的关键字,比如:SYSTEM和PUBLIC

weixin_39520775
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 648
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
微信支付的安全漏洞之XXE
weixin_33826268的博客
07-05 132
1.场景:国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。 2.什么是XML外部实体注入(XML External Entity,简称XXE)? 当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件...
python编写的面向对象的XXE自动化检测工具(对单个功能进行检测)
weixin_30555753的博客
11-06 226
import XXE_check if __name__=="__main__": try: check=XXE_check.xxe_check() #登录 input_url="http://mail.richinfo.cn/" getLoginUrl="http://mail.richinfo.cn/web...
python解析外部实体_XML外部实体XXE注入详解
weixin_39818631的博客
12-04 570
###XML与xxe注入基础知识1.XMl定义XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。XML:可扩展标记语言,标准通用标记语言的子...
外部通用实体
weixin_30393907的博客
12-24 350
包含基本元素/文档实体的主文件以外的数据称为外部文件。通过外部实体引用可在文档中嵌入外部实体和从若干相互独立的文件中获取数据组建为XML文档。 仅使用内部实体的文档非常类似于HTML模式。文档的完整文本存放于单一文件中,图像、java小程序、声音和非HTML数据也可链接入文件中,但至少在文件中要有所有文本。当然,HTML模式存在一些问题。特别在文档中嵌入动态信息的过程是一件...
WEB安全之XXE实体注入漏洞.pdf
12-12
WEB安全之XXE实体注入漏洞
信息安全_xxe注入应用与拓展.pptx
08-14
XXE,全称为XML External Entity Injection,是针对XML解析器的一种安全漏洞,它利用XML文档中的外部实体(External Entity)来获取系统敏感信息或执行恶意操作。XML实体允许开发者引用外部资源,如本地文件、网络...
SCAN_XXE:利用XML XXE漏洞
05-07
XXE漏洞主要源于不当配置的XML解析器,允许解析外部实体。当应用接受并处理不受信任的XML输入时,攻击者可以通过构造恶意的XML文档来触发XXE。例如,他们可能会定义一个外部实体来引用服务器上的敏感文件(如`file:/...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXE,XML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
XXE靶机
haha1314的博客
08-10 687
一、 收集信息 存活主机 开放端口 存在注入 Post包里面添加 <?xml version=“1.0″ encoding=“UTF-8″?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "file:///etc/passwd"> ]> <root><n...
python解析外部实体_使用Python解析外部实体引用解析XML
weixin_39872123的博客
12-04 251
我要为lxml负责。如果可以使用lxml,就没有理由考虑ElementTree。在我认为您缺少的部分是XMLParser中的no_network=False;它是{a1}。在示例。。。在XML输入(测试.xml)在%ISOEntities;]>Here's a test of minus: −Python^{pr2}$输出Here's a test of minus: −如果希望保留实体引用...
XXE
frinck的博客
11-01 1192
1.XML 什么是xml,他是用来干什么的? xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来做配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用 xml的内部实体外部实体的格式是什么样子的 如图就是一个典型的xml文本: 格式:xml声明:<?xml...
XXE详解
qq_48904485的博客
03-22 5479
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2248
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml中实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析解析的文本。...
XXE注入--XML外部实体注入(XML External Entity)
u011215939的博客
05-19 1万+
前言 很早就听说过这个漏洞,但是在实际的环境中很少遇见,最近碰到过XXE注入漏洞,于是就来研究一下XXE注入XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题 XML知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义...
XXE漏洞以及Blind XXE总结
热门推荐
Exploit的小站~
05-10 5万+
 转载请注明出处:http://blog.csdn.net/u011721501 0、前言 XXE漏洞是针对使用XML交互的Web应用程序的攻击方法,在XEE漏洞的基础上,发展出了BlindXXE漏洞。目前来看,XML文件作为配置文件(Spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVGheader)应用比较广泛,此外,网上有一些在线XML格式...
XXE(外部实体注入漏洞)
dinghuan2011的专栏
09-11 3890
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/zhangxing52077/article/details/80932730 1.场景还原    近日,微信发来警告通知,告知平台微信支付可能存在XXE(外部实体注入漏洞),笔者根据微信官方技术文档及时修复了该漏洞,分享出来希望能够对大伙有所帮助 2.原因分析   所谓的外部实体注入漏洞,主...
XXE xml实体注入
4ct10n
11-03 6415
1.科普ENTITY 实体 在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。 XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。 ENTITY的定义语法: <!DOCTYPE 文件名 [ <!ENTITY 实体名 "实体内容">
关于xxe外部实体安全
最新发布
04-27
XXE攻击是指攻击者通过XML实体注入漏洞,向应用程序中注入恶意的XML实体数据,从而导致应用程序解析XML实体时,触发攻击者构造的恶意行为。其中,外部实体注入攻击XXE攻击中最常见的一种方式。 为了防止XXE攻击中的外部实体注入攻击,可以采取以下措施: 1. 禁止使用外部实体:在解析XML数据时,应该禁止使用外部实体。可以在解析XML数据时,设置解析器的属性,禁止使用外部实体。 2. 过滤用户输入:在接收用户输入时,应该对输入数据进行过滤和验证,确保输入数据符合预期的格式和内容。可以使用正则表达式等方法,对用户输入进行限制和过滤。 3. 使用安全的XML解析器:使用安全的XML解析器可以有效地避免XXE攻击。一些安全的XML解析器,如SAX、DOM4J等,在解析XML数据时,会默认禁止使用外部实体。 4. 加强安全审计:及时发现和修复应用程序中的安全漏洞,可以有效地避免XXE攻击的发生。因此,应该加强安全审计工作,定期对应用程序进行安全检测和评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值