java代码安全审计_Java代码审计-XXE之Unmarshaller

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量829 收藏 1
点赞数
文章标签: java代码安全审计
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42311046/article/details/114235535
版权

XXE简介

XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。文档类型定

义(DTD)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,

也可以外部引用。

* 内部声明 DTD:

元素声明]>

* 引用外部 DTD:

当允许引用外部实体时,恶意攻击者即可构造恶意内容访问服务器资源,如读取

passwd 文件:

]>

&aaa;

Unmarshaller简介

JAXB(Java Architecture for XML Binding) 是一个业界的标准,是一项可以根据XML Schema产生Java类的技术。该过程中,JAXB也提供了将XML实例文档反向生成Java对象树的方法,并能将Java对象树的内容重新写到XML实例文档。从另一方面来讲,JAXB提供了快速而简便的方法将XML模式绑定到Java表示,从而使得Java开发者在Java应用程序中能方便地结合XML数据和处理函数。

Marshaller:

marshaller 类负责管理将Java内容树序列化为XML数据的过程。简单的来说可以把java对象序列化转为XML格式的数据。

Unmarshaller:

Unmarshaller 类管理将 XML 数据反序列化为新创建的 Java 内容树的过程,并可在解组时有选择地验证 XML 数据。

DEMO区:

第一种:读取本地输入XML数据

为了方便演示,我就在本地搞个文件了,不抓包输入了。

下面是本地一个测试demo代码:

5563ad890282257d4efc00e853883df5.png

其中1.xml文件内容如下,读取的是本地win.ini文件:

%aaa;%ccc;%ddd;]>

192.168.153.181是反弹的本地ip,进行端口监听:

b19595202a8a8b372f3306dc71498d85.png

运行代码后结果如下,运行后解析了本地XML文件:

8bc9998b18d0d923e1b4966cb694e56f.png

本地监听结果如下,可以看到XXE已经执行,并且监听到结果:

0717a5affe50fd8a829b41a13fc3183e.png

第二种:远程加载XML文件

前面讲的是本地输入XML数据执行XXE,现在讲讲远程加载XML文件,执行XXE。同样demo如下,192.168.110.142 是远程存储XML文件的IP:

c42e7355b34e2bd4221f03c2b6430c19.png

运行效果如下,可以看到一样执行了XXE:

715eef9f0c9300063f2dca228195716f.png

4a820c201951fe000a8a5ce781bd92cf.png

总结

大家一定疑惑为什么我只用jdk1.6版本来执行,因为我试了很多次发现,unmashaller在jdk1.6和jdk1.7环境下都可以支持XXE,但是在jdk1.8环境下是执行不了的,贴两张图给大家看下:

acf1610c117e51f495870843c6fbf9c0.png

8f4b2ebe23071c368add4850e698c45f.png

两张图可以看出jdk1.8是无法执行外部dtd文档的,要是看不起,在贴一张:

c8a7d5169988e994954ea735321749bf.png

好了,今天就到这了。

文章来自【Backer Talk】,原创作者:小平哥,如需转载需注明作者及本文链接。

【Backer Talk】BSRC白客说栏目专注于安全知识分享,长期向安全爱好者征集漏洞分析、漏洞挖掘姿势分享等安全相关内容,欢迎惠赐作品!详情点击

孔祥奕
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java代码安全审计_《网络安全java代码审计实战》
weixin_28358083的博客
02-16 1854
第1章 代码审计基础1.1JavaWeb环境搭建1.1.1JavaEE介绍1.1.2JavaEE环境搭建1.2JavaWeb动态调试1.2.1Eclipse动态调试1.2.2IDEA动态调试程序第2章常见漏洞审计2.1SQL注入漏洞2.1.1SQL注入漏洞简介2.1.2执行SQL语句的几种方式2.1.3常见JavaSQL注入2.1.4常规注入代码审计2.1.5二次注入代码审计2.1.6SQL注入漏...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md ...
JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 4563
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
JAXB血案之 XML外部实体注入漏洞(XXE)
weixin_47397751的博客
01-12 1161
1.漏洞描述 XML外部实体注入漏洞,即XXE(XML External Entity),此漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。 2.JAXB是什么? JAXB实现了java对象与xml之间的转换,使用的注解主要有: (1)@XmlRootElement:用于类级别的注释,对应XML的根节点。参数: name 定义这个根节点的名称 namespace 定义这个根节点命名空间 (2)
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1042
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml。
JAXB的工作原理与基本用法
Heroson_Chow的博客
09-21 3172
JAXB用途 1、将Java对象序列化为XML(出处) 2、将XML数据文件解析成一个Java对象(出处) JAXB的工作原理(该段文字与图片出处)     JAXB映射主要由四个部分组成:schema、 JAXB、 XML文档和Java对象。     对比Hibernate映射来说明这四项的工作原理:          schema可以看作是数据库中的表结构,docu
java xml字符串反序列化,将XML解析/反序列化为JavaObjects
weixin_31440829的博客
02-24 178
i started a small new project and i want to deserialize objects from XML.i created a xsd:and an example XML File :Which should use the xsd and so on.So how can i achive the deserialization of these XM...
信息安全_数据安全_AppSecEU2016-Christopher-Spaeth-From-DTD-to-XXE.pdf
08-21
信息安全_数据安全_AppSecEU2016-Christopher-Spaeth-From-DTD-to-XXE 水坑攻击 金融安全 硬件攻防 可信编译 网络犯罪
WebGoat8-xxe注入漏洞分析
09-15
在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 XXE 注入漏洞的工作...
[ 代码审计 ] 通达OA审计文档.pdf
02-11
本文档对通达OA的代码进行了审计,发现了多个漏洞,包括XSS、SSRF、SQL injection和XXE。 首先,文档中提到XSS漏洞的复现,漏洞位于common.inc.php文件中,通过base64解码的方式传入参数,导致XSS漏洞的出现。我们...
[ 代码审计资源 ] vulns.war 包
12-28
[ 代码审计资源 ] vulns.war 包 [ 代码审计篇 ] 代码审计案例详解中讲到的知识点最好还是自己搭建环境实践一下。 详情可以看我的文章:[ 代码审计篇 ] 代码审计案例详解
Java开发中利用JAXBContext 和 Unmarshaller、Marshaller 实现xml和javabean实体类之间的相互转换
u010741112的博客
10-26 1944
1.xml转javabean 1.1 xml格式如下,只有一层的: <?xml version='1.0' encoding='UTF-8'?> <root> <company>10000</company> <descr>公司</descr> <descrshort>公司简称</descrshort> <country>国家</country> <phone>电话</p
Java基础 - XML解析转成Bean以及Bean转成XML(附带案例)
weixin_39651356的博客
12-20 5098
文章目录1. JAXB - Java Architecturefor XML Binding - 面向XML绑定的Java体系结构1.1 注解1.2 使用**测试1 - 反序列化xml文件成JavaBean对象****测试2 - 序列化普通JavaBean对象****测试3 - 序列化JavaBean对象字段中含有容器Collection -> xml字符串****测试4 - 序列化容器对象**测试5 - 复杂报文解析 1. JAXB - Java Architecturefor XML Bindin
JAXB 深入显出 - JAXB 教程 XML转Java对象深入(Unmarshaller
随-记的专栏
11-30 1703
摘要: JAXB 作为JDK的一部分,能便捷地将Java对象与XML进行相互转换,本教程从实际案例出发来讲解JAXB 2 的那些事儿。完整版目录 前情回顾 上一节以简单介绍了 UnMarshaller 的过程,这一节将深入介绍XML数据转换为JAVA对象。 完整代码 可以在GitHub找到完整代码。 本节代码均在该包下:package com.example.demo.lessonXX; 下节预览...
梦里寻她千百度 | 新书预告:JAVA代码安全审计(入门篇)
Ms08067安全实验室
12-28 2236
近期很多读者询问关于《JAVA代码安全审计》一书的出版进展,统一回复下,目前新书《JAVA代码安全审计(入门篇)》11月底已经完成全部书稿并交付出版社,全书分为九章460页,共计...
手把手教你Java项目源码安全审查!
xmt1139057136的专栏
08-08 2608
你知道的越多,不知道的就越多,业余的像一棵小草!你来,我们一起精进!你不来,我和你的竞争对手一起精进!编辑:业余草来源:cnblogs.com/xdecode/p/9252113.htm...
JAXB 深入显出 - JAXB 教程 XML转Java对象初探(Unmarshaller
随-记的专栏
11-30 1433
摘要: JAXB 作为JDK的一部分,能便捷地将Java对象与XML进行相互转换,本教程从实际案例出发来讲解JAXB 2 的那些事儿。完整版目录 前情回顾 之前介绍的都是将Java对象转换为XML,这一节开始,将讲述XML数据转换为JAVA对象。 完整代码 可以在GitHub找到完整代码。 本节代码均在该包下:package com.example.demo.lessonXX; 下节预览 本节介...
【JAXB】marshaller unmarshaller解析xml和读取xml
嘻嘻哈哈
04-11 1425
一、JAXB简介及主要类 JAXB(Java Architecture for XML Binding) 是一个业界的标准,是一项可以根据XML Schema产生Java类的技术。该过程中,JAXB也提供了将XML实例文档反向生成Java对象树的方法。 marshaller:将bean转化为xml unmarshaller:将xml转化为bean 二、JAXB的相关注解详解(使用于bean...
【Web安全】Web安全Java代码审计总结
m0_61572518的博客
04-23 3508
《网络安全Java代码审计实战》笔记。 一、SQL注入 1.1 常见的sql注入场景 1.预编译错误编程方式 String username = ""; String id = "2"; String sql = "SELECT * FROM user where id = ?"; if(!CommonUtils.isEmptyStr(username)) sql += "and username like '%" + username + "%'"; PreparedStatement pst
java xxe代码审计方法
05-18
对于Java应用程序,XXE漏洞通常出现在处理XML输入时,因此在对Java代码进行审计时,需要关注与XML相关的代码。 以下是一些可能的Java XXE代码审计方法: 1. 检查XML解析器配置:在Java中,XML解析器可以通过不同的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值