(十二)XML外部实体(XXE)注入

最新推荐文章于 2024-05-27 12:15:00 发布
最新推荐文章于 2024-05-27 12:15:00 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/115761820
版权

目录

一、什么是XML外部实体注入?

XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。

在某些情况下,攻击者可以利用XXE漏洞执行服务器端请求伪造(SSRF)攻击,从而升级XXE攻击,以破坏底层服务器或其他后端基础结构。

二、XXE漏洞如何产生?

一些应用程序使用XML格式在浏览器和服务器之间传输数据。实际上,执行此操作的应用程序始终使用标准库或平台API来处理服务器上的XML数据。XXE漏洞的出现是因为XML规范包含各种潜在的危险功能,并且标准解析器支持这些功能,即使应用程序通常不使用它们也是如此。

什么是XML?

XML代表“可扩展标记语言”。XML是一种设计用于存储和传输数据的语言。像HTML一样,XML使用标签和数据的树状结构。与HTML不同,XML不使用预定义标签,因此可以给标签指定描述数据的名称。在Web的早期历史中,XML成为一种流行的数据传输格式(“ AJAX”中的“ X”代表“ XML”)。但是,现在它的受欢迎程度已下降,而不再支持JSON格式。

什么是XML实体?

XML实体是一种表示XML文档中的数据项的方式,而不是使用数据本身。XML语言规范内置了各种实体。例如,实体&lt;和&gt;代表字符<和>。这些是用于表示XML标签的元字符,因此,当它们出现在数据中时,通常必须使用它们的实体来表示。

什么是文件类型定义(DTD)?

XML文档类型定义(DTD)包含一些声明,这些声明可以定义XML文档的结构,它可以包含的数据值的类型以及其他项。DTDDOCTYPE在XML文档开始处的可选元素中声明。DTD可以完全独立地包含在文档本身中(称为“内部DTD”),也可以从其他位置加载(称为“外部DTD”),也可以将二者混合使用。

什么是XML自定义实体?

XML允许在DTD中定义自定义实体。例如:

<!DOCTYPE foo [ <!ENTITY myentity "my entity value" > ]>

此定义意味着&myentity;XML文档中实体引用的任何用法都将被定义的值“ my entity value”替换。

什么是XML外部实体?

XML外部实体是一种自定义实体,其定义位于声明它们的DTD之外。

外部实体的声明使用SYSTEM关键字,并且必须指定一个URL,从该URL可以加载实体的值。例如:

<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://normal-website.com" > ]>

URL可以使用该file://协议,因此可以从文件中加载外部实体。例如:

<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///path/to/file" > ]>

XML外部实体是一种自定义XML实体,其定义值是从声明它们的DTD外部加载的。
从安全角度来看,外部实体特别有趣,因为它们允许基于文件路径或URL的内容定义实体XML外部实体提供了引发XML外部实体攻击的主要方法。

三、XXE攻击有哪些类型?

XXE攻击有多种类型:

  • 利用XXE检索文件,其中定义了一个包含文件内容的外部实体,并在应用程序的响应中返回。
  • 利用XXE执行SSRF攻击,其中基于到后端系统的URL定义了外部实体。
  • 利用盲目的XXE泄漏带外数据,其中敏感数据从应用程序服务器传输到攻击者控制的系统。
  • 利用盲目的XXE通过错误消息检索数据,攻击者可以在其中触发包含敏感数据的解析错误消息。

利用XXE检索文件

要执行从服务器文件系统中检索任意文件的XXE注入攻击,我们需要以两种方式修改提交的XML:

  • 引入(或编辑)一个DOCTYPE元素,该元素定义一个包含文件路径的外部实体。
  • 编辑应用程序响应中返回的XML中的数据值,以使用已定义的外部实体。

例如,假设购物应用程序通过将以下XML提交给服务器来检查产品的库存水平:

<?xml version="1.0" encoding="UTF-8"?>
<stockCheck><productId>381</productId></stockCheck>

该应用程序没有针对XXE攻击的特殊防御措施,因此我们可以/etc/passwd通过提交以下XXE有效负载来利用XXE漏洞来检索文件:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
<stockCheck><productId>&xxe;</productId></stockCheck>

此XXE有效负载定义了一个外部实体&xxe;其值是/etc/passwd文件的内容,并在该productId值内使用该实体。这将导致应用程序的响应包括文件内容:

Invalid product ID: root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
...

利用XXE执行SSRF攻击

除了检索敏感数据外,XXE攻击的另一个主要影响是它们可用于执行服务器端请求伪造(SSRF)。这是一个潜在的严重漏洞,可以诱使服务器端应用程序对服务器可以访问的任何URL发出HTTP请求。

要利用XXE漏洞执行SSRF攻击,需要使用要定位的URL定义外部XML实体,并在数据值中使用定义的实体。如果可以在应用程序响应中返回的数据值中使用定义的实体,那么将能够从应用程序响应中的URL查看响应,从而与后端系统进行双向交互。否则,您将只能执行盲目SSRF攻击(仍然可能会产生严重后果)。

在下面的XXE示例中,外部实体将导致服务器向组织的基础结构内的内部系统发出后端HTTP请求:

<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://internal.vulnerable-website.com/"> ]>

迭代更新DTD中的URL以浏览API

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin"> ]>
<stockCheck><productId>&xxe;</productId><storeId>1</storeId></stockCheck>

四、寻找用于XXE注入的隐藏攻击面

在许多情况下,XXE注入漏洞的攻击面很明显,因为应用程序的常规HTTP流量包括包含XML格式数据的请求。在其他情况下,攻击面较不可见。但是,如果在正确的位置查看,则会在不包含任何XML的请求中发现XXE攻击面。

XInclude攻击

一些应用程序接收客户端提交的数据,将其在服务器端嵌入到XML文档中,然后解析该文档。将客户端提交的数据放入后端SOAP请求中,然后由后端SOAP服务处理该请求时,就会发生这种情况。

在这种情况下,我们无法进行经典的XXE攻击,因为无法控制整个XML文档,因此无法定义或修改DOCTYPE元素。但是,我们也许可以XInclude代替使用。XInclude是XML规范的一部分,该规范允许从子文档构建XML文档。我们可以XInclude在XML文档中的任何数据值内进行攻击,因此可以在仅控制放置在服务器端XML文档中的单个数据项的情况下执行攻击。

要进行XInclude攻击,您需要引用XInclude名称空间,并提供要包含的文件的路径。例如:

<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>

通过文件上传进行XXE攻击

一些应用程序允许用户上传文件,然后在服务器端进行处理。一些常见的文件格式使用XML或包含XML子组件。基于XML格式的示例是Office文档格式(例如DOCX)和图像格式(例如SVG)。

例如,一个应用程序可能允许用户上传图像,并在上传后在服务器上处理或验证这些图像。即使应用程序希望接收PNG或JPEG之类的格式,所使用的图像处理库也可能支持SVG图像。由于SVG格式使用XML,因此攻击者可以提交恶意的SVG映像,因此可以隐藏攻击面以发现XXE漏洞。

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

通过修改的内容类型进行XXE攻击

大多数POST请求都使用HTML表单生成的默认内容类型,例如application/x-www-form-urlencoded。一些网站希望以这种格式接收请求,但会容忍其他内容类型,包括XML。

例如,如果正常请求包含以下内容:

POST /action HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 7
foo=bar

然后,您可以提交以下请求,结果相同:

POST /action HTTP/1.0
Content-Type: text/xml
Content-Length: 52

<?xml version="1.0" encoding="UTF-8"?><foo>bar</foo>

如果应用程序允许消息正文中包含XML的请求,并将正文内容解析为XML,则只需重新格式化请求以使用XML格式,就可以到达隐藏的XXE攻击面。

五、如何预防XXE漏洞

实际上,所有XXE漏洞的出现都是因为应用程序的XML解析库支持应用程序不需要或不打算使用的潜在危险XML功能。防止XXE攻击的最简单,最有效的方法是禁用这些功能。

通常,禁用外部实体的解析并禁用对XInclude的支持就足够了。通常可以通过配置选项或以编程方式覆盖默认行为来完成此操作。。

她总是阴雨天
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML外部实体注入(XXE)
web1的博客
09-08 479
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5326
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
XML 外部实体注入
2201_75370376的博客
06-22 949
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
【burpsuite安全练兵场-服务端10】XML外部实体注入XXE注入)-9个实验(全)
最新发布
m0_61869253的博客
05-27 297
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
xxe-xml外部实体注入
nigo134的博客
07-27 2919
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
XXEXML外部实体注入)详解
一期一会的博客
01-22 5200
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
【网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1015
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
测试XXE注入.docx
09-06
XXE 注入XML 外部实体注入)是一种类型的注入攻击,它会影响解析 XML 文件的应用程序。攻击者可以通过构造恶意的 XML 文件,使用外部实体来引用文件系统中的文件或网络资源,从而导致读取任意文件、执行系统命令、...
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
XML外部实体注入学习
paidx0
08-26 1556
前言 最近做题做到XXE 这类型的题,也没有系统学习过,只是简单知道他和 XML 有关,这次就了解了一下XXE 漏洞 简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 XML的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,
利用 XML 外部实体注入
blacklordking的博客
06-21 394
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体
Xxe外部实体注入XML External Entity Injection)
xuyunpeng3189的博客
01-23 1094
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
漏洞总结——XXEXML外部实体注入
Spontaneous_0的博客
09-08 465
XXE漏洞全称为 XML External Entity Injection,即XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载, 导致用户可以控制外部的加载文件,造成XXE漏洞。
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2078
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1546
标记:指计算机能理解的信息符号(标签),通过这些标签,计算机之间可以处理包含各种信息的HTML、文章等;可扩展性:使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义(Document Type Definition,DTD)的XML文件样例。
34-XXEXML外部实体注入
XLbb的博客
05-19 908
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值