PHP环境 XML外部实体注入漏洞(XXE)

最新推荐文章于 2024-03-07 21:06:33 发布
最新推荐文章于 2024-03-07 21:06:33 发布
阅读量288 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50341025/article/details/116041285
版权
环境介绍: PHP 7.0.30 libxml 2.8.0libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。使用如下命令编译并启动环境:docker-compose up -d环境启动后,访问http://your-ip:8080/index.php即可看到phpinfo,搜索libxml即可看到其版本为2.8.0。Web目录为./www,其中包含4个文
摘要由CSDN通过智能技术生成

环境介绍:
 PHP 7.0.30
 libxml 2.8.0
libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。

使用如下命令编译并启动环境:
docker-compose up -d

在这里插入图片描述

环境启动后,访问http://your-ip:8080/index.php即可看到phpinfo,搜索libxml即可看到其版本为2.8.0。

在这里插入图片描述
在这里插入图片描述

Web目录为./www,其中包含4个文件:
$ tree .
.
├── dom.php # 示例:使用DOMDocument解析body
├── index.php
├── SimpleXMLElement.php # 示例:使用SimpleXMLElement类解析body
└── simplexml_load_string.php # 示例:使用simplexml_load_string函数解析body
dom.php、SimpleXMLElement.php、simplexml_loa

最低0.47元/天 解锁文章
-solo
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHP环境 XML外部实体注入漏洞 XXE 漏洞复现
ADummy的博客
02-26 440
PHP环境 XML外部实体注入漏洞XXE) by ADummy 0x00利用路线 ​ 构造XXE payload—>POST发送—>有回显(也有blind xxe 参考资料) 0x01漏洞介绍 ​ PHP环境 XML外部实体注入漏洞XXE) 0x02漏洞复现 payload <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ELEMENT name ANY > <!ENTITY xx
漏洞英文bug/PHP环境XML外部实体注入漏洞(XXE)_零开始信息安全知识点
程序员六七的博客
06-07 405
1、XML介绍XML叫做可扩展标记语言,类似于HTML,但是他们之间又有着明显的差别;HTML的主要作用是用来显示数据的,而XML的主要作用是传输和存储数据的。
[Vulhub] PHP环境 XML外部实体注入漏洞XXE
weixin_45605352的博客
05-07 3362
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
PHP环境 XML外部实体注入漏洞
mmdlm的博客
08-18 567
libxml2.9.0以后,默认不解析外部实体导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHPPHP版本并不影响XXE利用。
vulhub漏洞php环境XML外部实体注入漏洞XXE
weixin_45808483的博客
12-17 827
PHP环境 XML外部实体注入漏洞XXEXXE知识总结 环境介绍: PHP 7.0.30 libxml 2.8.0 libxml2.9.0以后,默认不解析外部实体导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHPPHP版本并不影响XXE利用。 vulhub搭建漏洞: github位置:https://github.com/vulhub/vulhub/tree/master/php/php_xxe 使用如下命令编译
XXEXML外部实体注入漏洞
F2444790591的博客
07-10 2061
XML外部实体注入XML Extenrnal Entity Injection),简称XXE漏洞XML解析依赖库libxml默认开启了对外部实体的引用(libxml
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2078
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1279
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其,DTD需要在!DOCTYPE注释定义根元素,而后在括号的[]内使用!ELEMENT注 释定义各元素特征。
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1142
转自腾讯安全应急响应心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞XML是一种标记语言,常用于数据交换,而外部实体XML文档的一部分,允许引用外部资源,如文件系统、网络...
基于XXE漏洞的网络安全分析与利用工具开发
05-07
当应用是通过用户上传的XML文件或POST请求进行数唱的传输,并日应用没有禁止XNML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞XXE漏洞发生在应用程序解析XML输入时,...
XXE超详细讲解 全网仅此一份
07-06
XXEXML External Entity injection)是一种安全漏洞,它发生在解析XML输入时,由于应用程序未能正确处理外部实体,攻击者能够注入恶意的XML实体,从而读取服务器上的敏感文件、执行系统命令或探测内网资源。...
xml-security:用于XML安全性的SimpleSAMLphp
03-15
2. **XXEXML外部实体注入)**:攻击者利用XML文档的外部实体引用,访问本地文件系统或网络资源,可能导致数据泄露。 3. **XSS(跨站脚本)**:虽然主要针对HTML,但XML也可以被用于XSS攻击,允许攻击者在用户...
基于Springboot和Vue的图书借还管理系统源码 图书借还管理系统代码(高分毕设)
最新发布
07-28
图书借还管理系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 系统源码(高分毕设),个人经导师指导并认可通过的98分毕业设计项目,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的学习者。也可作为课程设计、期末大作业。包含全部项目源码[代码]、该项目可以直接作为毕设使用。项目技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug!
C语言内存管理:静态与动态分配的较量
07-28
C语言是一种通用的编程语言,由丹尼斯·里奇(Dennis Ritchie)在20世纪70年代早期于美国电话电报公司(AT&T)的贝尔实验室开发。C语言以其高效性、灵活性和可移植性而闻名,它是一种过程式编程语言,提供了对底层硬件的直接访问能力。 C语言的特点包括: 1. **简洁高效**:C语言的语法简洁,执行效率高,适合编写系统软件。 2. **接近硬件**:C语言提供了对内存地址和位操作的直接控制,使其非常适合硬件级编程。 3. **可移植性**:C语言编写的程序可以在不同的操作系统和硬件平台上编译和运行,具有很好的可移植性。 4. **丰富的库支持**:C语言拥有大量的标准库,如标准输入输出库(stdio.h)、数学库(math.h)等。 5. **结构化编程**:C语言支持结构化编程,允许使用循环、条件判断和函数等控制结构。 6. **指针**:C语言的指针功能强大,可以操作内存地址,实现复杂的数据结构和算法。 7. **编译型语言**:C语言是一种编译型语言,源代码需要通过编译器转换成机器码才能运行。 C语言广泛应用于操作系统(如Unix和Linux)、嵌入式系统、高性能
通讯协议规范-命令包格式
07-28
提供一份通讯协议规范,包含命令包、格式等,在上下位机调试的时候可参考该文档,制定对应的通讯协议。
XML外部实体注入漏洞原理
05-24
XML外部实体注入漏洞XML External Entity Injection, 简称XXE)是一种常见的安全漏洞,攻击者可以利用这种漏洞来读取任意文件、执行系统命令等操作。 在XML文档,可以通过定义实体来引用外部资源,例如文件、...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值