Word文档进行XXE攻击

最新推荐文章于 2024-04-26 11:52:46 发布
最新推荐文章于 2024-04-26 11:52:46 发布
阅读量2.2k 收藏 4
点赞数
分类专栏: # 挖掘技巧 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57567655/article/details/124588490
版权

Word文档进行XXE攻击

原文出处:干货

1.了解一下DOCX文档的构造

使用DOCX文档进行XXE攻击,看上去似乎非常高级,其实它的原理是非常简单的。DOCX文档其实就是把一堆的XML文件按照一定的格式压缩在一起。在上篇文章中我们提到了一种远程加载文档模板进行攻击的方法,那个姿势的操作过程中,我们就有对settings.xml.rels文件中的内容进行编辑。事实上,你只需要把DOCX文档的后缀改为ZIP,并解压出其中的文件,就可以清晰地看到DOCX文档的“真实面貌“。

如下图,可以清晰的看到DOCX文档的实际构成

那么既然是XML文档,我们知道XXE攻击的实质就是后端在处理XML相关数据的时候也执行了我们的恶意XML语句,那么有没有一种可能,我们把恶意语句嵌入到DOCX文档中的某些XML文件里,设法让目标网站触发呢?答案是可行的。

这个姿势的关键点在于,既然DOCX文档是由XML压缩而成的,那么网站的一些功能,比方说在线阅读DOCX文档,在线解析DOCX文档等等功能,一定绕不开解析DOCX文档里的XML文件。所以那种网盘在线阅读DOCX文档、网站在线解析DOCX文档、邮件系统传输DOCX文档等等功能都有可能存在这类漏洞,平时漏洞挖掘的时候记得多留个心眼。

下面就开始正式介绍利用的姿势

第一个回显位置

这个位置ord/document.xml文件中

把它打开后发现是这样的

第一个位点在文档声明的下方,也就是这个位置

可以嵌入恶意代码,比方说

随后将这个压缩包的后缀名修改为DOCX,就得到了一个用于XXE攻击的DOCX文档

第二个回显位置

这个姿势学习自先知社区的“你回来吗”师傅。这位师傅发现了在线浏览或者转换DOCX文档的功能处还有一个回显点,即文章的页码。

这个功能点所处的位置是docProps/app.xml

 

 可以清楚的看到控制页码的标签是<Pages>

在Pages标签中嵌入XXE攻击语句即可

 

 

随后将这个压缩包的后缀名修改为DOCX,就得到了一个用于XXE攻击的DOCX文档

2.利用Word OLE功能进行XXE攻击

这个姿势同样学习自先知社区的“你回来吗”师傅。这个手法主要用于攻击Libreoffice,Libreoffice是很多Word转PDF网站的常客,实战情况下有机会遇到。

按照上篇OLE+LNK钓鱼的姿势,先创建一个OLE对象先。

接下来这一步原文的师傅是用MAC上的Word来实现的,我一开始复现的时候一时半会还没找到Windows环境下在哪有这个功能点,细看了一波终于被我找到了。

这个文件名的绝对路径可以自己填,插入好之后将这个文档先保存为.odt格式 

 

然后老样子,把它后缀改为.zip格式再修改其中的XML文件,在content.xml中找到第一个xlink:href,其中的路径修改为你想要读的文件

 

 

最后把它重新改成Docx格式即可

yggcwhat
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java打印语句输出xxxxxl19was.was
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
10-07 10万+
如果想要一次性直接输出打印语句,可以直接System.out.println("xxxxxl19was.was"),Java打印输出下一次敲so直接回车就会默认sout;选择souf的效果是printf,也是如此。 数据库创建表xxxxxl19was.was
简析xxe攻击方式
05-09
简析xxe攻击方式
利用doc文件实现xxe
weixin_33904756的博客
04-09 593
首先这是一个正常的文档当将这一个doc文档改成zip,再解压后就会发现doc文档就是一堆xml文件组成的在word文件夹里打开document.xml可以发现doc里的内容都在<w:t></w:t>里构造实体,并在<w:t></w:t>里引用实体来实现xxe实体定义:<!DOCTYPEdocument[<!EN...
WPA3_Specification_v3.0 WIFI联盟WPA3 官方文档
04-22
不需要曝光,就是为不方便访问WiFi联盟官网的朋友准备的,可以配合着 我之前上传的中文版 对比着看。
元数据检索和分析工具-FOCA
最新发布
2301_80127209的博客
04-26 510
大家好,我是zkaq-念旧,今天来给大家介绍一下“元数据”以及元数据检索和分析工具“FOCA”本文章使用到的软件安装包放在了文章末尾;同时你也可以在查看文章的过程中,到官网进行下载对于渗透测试来说,能否获取目标的敏感信息非常关键,因为这可以增加攻击成功的几率敏感信息有很多,例如员工姓名、电话号码、电子邮件地址和客户端软件版本等信息而这类信息来源之一是文档元数据元数据就是“数据的数据”元数据主要用来描述一些数据的属性,用来指示一些数据,例如文件存储位置、地理坐标、历史数据等。
WebService开发流程(AAXIS、JAX-WS、XFire框架)
larry_lv的专栏
07-08 7327
导言:WebService存在于互联网当中的组件,具有独立性,跨平台和技术,通过URL进行定位调用;优点是可以重复使用组件服务可以跨平台和技术,实现不同程序之间的交互可以使用组件服务灵活组合,提高资源利用率,节省资源   一、WebService开发流程   --AXIS框架的使
poj2376 java_Java & PHP & Javascript 通用 RSA 加密 解密 (长字符串)
weixin_42143806的博客
02-24 1744
1 (function(global, factory) {2 typeof exports === ‘object‘ && typeof module !== ‘undefined‘ ?factory(exports) :3 typeof define === ‘function‘ && define.amd ? define([‘expo...
Nginx日志监控报警方案.docx
11-30
docker image nginx 集成filebeat 收集 nginx 日志信息,通过kafka接收日志信息
XXE攻击揭秘
07-22
图文并茂的介绍了OWASP TOP 10中的 XXE攻击,非常具有可读性
XXE - 防御策略-01
09-15
XXE(Xml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。 一、XXE 漏洞消亡原因 从 2018 年...
5、XXE漏洞pdf资料
10-15
XXE攻击者通过构造特殊的XML文档,可以利用XML解析器的弱点读取服务器上的任意文件、执行系统命令、探测内部网络以及攻击内部网络服务。 XML结构包含以下几个核心概念: 1. 元素:XML文档的基本构建块,由开始标记...
在was上执行Oracle语句,WAS运行时抛出的两种异常,经过google找到解决方案,记录以备案...
weixin_31689651的博客
04-03 2379
在第一次运行范例时,您可能会得到以下错误:WSRdbDataSour I DSRA8203I:Database product name : OracleWSRdbDataSour I DSRA8204I: Database product version :Personal Oracle9i Release 9.2.0.1.0 - ProductionWith the Partitioning,...
160 - 6 aLoNg3x.1
123
02-07 3657
160 - 6 aLoNg3x.1
从WiFI渗透攻击到WPA3
qq_55349196的博客
08-27 4518
WiFi从发明到现在已经融入到生活的每个方面,在这个互联网发达的时代,无线网络遍布每个角落。而提供给人们方便的同时也隐藏着安全问题,我们通过了解WLAN的一种技术———Wi-Fi(Wireless-Fidelity),测试其中存在的安全问题,同时也解决WiFi的隐藏问题。.........
Error evaluating expression 'XXX'.  Return value ('xxxx','xxxxx') was not iterable.
热门推荐
cxws110的博客
03-26 8万+
org.apache.ibatis.builder.BuilderException: Error evaluating expression 'XXX'. Return value ('xxxx','xxxxx') was not iterable. at org.apache.ibatis.scripting.xmltags.ExpressionEvaluator.evaluateIt...
WAS与WAS ND有什么区别?
shaofei的记事本
02-10 3万+
WAS与WAS ND有什么区别?
WAS基本使用手册
Mr. David 专栏
11-16 2万+
1.  基本介绍 WebSphereApplication Server(简称WAS)是IBM的应用服务器   基本结构:单元(cell) ——> 多个节点(node) ——> 多个服务(server) ——> 多个应用(app)   单元是整个分布式网络中一个或多个节点的逻辑分组 单元是一个配置概念, 是管理员将节点间逻辑关联起来的实现方法, 可以将单元看作是WAS最大的作用域 2
es6字符串长度补全功能 padStart(), padEnd()
做一个有知识的流氓
02-26 591
如果用来补全的字符串与原字符串,两者的长度之和超过了指定的最小长度,则会截去超出位数的补全字符串。一共接受两个参数,第一个参数用来指定字符串的最小长度,第二个参数是用来补全的字符串。如果原字符串的长度,等于或大于指定的最小长度,则返回原字符串。如果省略第二个参数,默认使用空格补全长度。
基于pikachu靶场实施XXE攻击
05-23
XXE攻击(XML External Entity Injection)是一种常见的网络安全攻击,它利用 XML 解析器的漏洞,将恶意的 XML 实体注入到应用程序中,从而实现对目标系统的攻击。下面介绍如何在 pikachu 靶场上实施 XXE 攻击。 步骤1:选择目标 在 pikachu 靶场中,可以选择一个目标进行攻击。例如,选择其中一个常见的目标“WebGoat”,这是一个用于学习 Web 应用程序漏洞的靶场。在 pikachu 靶场中,可以通过访问“https://ip:8443/WebGoat/attack”进入 WebGoat 靶场。 步骤2:查找漏洞 在 WebGoat 靶场中,有许多不同类型的漏洞可供攻击者利用。在这里,我们将选择“XXE Injection”漏洞进行攻击。 步骤3:编写攻击脚本 编写攻击脚本,该脚本将恶意的 XML 实体注入到目标应用程序中。以下是一个简单的攻击脚本示例: ``` <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo> ``` 在此脚本中,我们注入了一个实体“xxe”,它将读取目标系统的“/etc/passwd”文件并将其返回。 步骤4:发送攻击攻击脚本发送到目标系统。在 WebGoat 靶场中,可以通过简单地将脚本复制并粘贴到相应的输入框中进行攻击。 步骤5:获取攻击结果 如果攻击成功,将返回目标系统的“/etc/passwd”文件内容。 需要注意的是,XXE 攻击可能会导致目标系统中的敏感信息泄露,因此请在合法授权和合规框架内进行测试。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值