XXE漏洞概念

最新推荐文章于 2024-10-17 13:41:16 发布
最新推荐文章于 2024-10-17 13:41:16 发布
阅读量888 收藏 20
点赞数 15
文章标签: 网络 安全 笔记 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_59047731/article/details/135737191
版权

1、XXE漏洞概念

XXE(XML External Entity Injection) 又称为XML外部实体注入

XML是一种类似于HTML(超文本标记语言)的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

2、XML基础知识

2.1、XML基础

(1)什么是 XML?

  • XML 指可扩展标记语言(EXtensible Markup Language)。

  • XML 是一种很像HTML的标记语言。

  • XML 的设计宗旨是传输数据,而不是显示数据。

    • html显示数据

  • XML 标签没有被预定义。您需要自行定义标签。

  • XML 被设计为具有自我描述性。

  • XML 是 W3C 的推荐标准

(2)XML的作用

  • 存储数据
  • 传输数据

(3)基础语法

<?xml version="1.0" encoding="UTF-8"?>
<note>
  <to>Tove</to>
  <from>Jani</from>
  <heading>Reminder</heading>
  <body>Don't forget me this weekend!</body>
</note>

文档结构图:

img

(4)语法规则:

  • XML 文档必须有根元素

  • XML 声明(可选)

  • 所有的 XML 元素都必须有一个关闭标签

  • XML 标签对大小写敏感

  • XML 必须正确嵌套

  • XML 属性值必须加引号

  • 实体引用(同html)

    • &gt;,&lt;

  • XML 中的注释(同html)

  • 在 XML 中,空格会被保留

(5)XML 命名规则:

XML 元素必须遵循以下命名规则:

  • 名称可以包含字母、数字以及其他的字符
  • 名称不能以数字或者标点符号开始
  • 名称不能以字母 xml(或者 XML、Xml 等等)开始
  • 名称不能包含空格

2.2、XML的合法性

拥有正确语法的 XML 被称为"形式良好"的 XML。

通过 DTD 验证的XML是"合法"的 XML

接下来掌握DTD(Document Type Definition)相关知识,有利于我们掌握XXE

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块

DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用

(1)内部DTD

假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中:

<!DOCTYPE root-element [element-declarations]>
  • root-element:根元素
  • element-declarations:元素声明

如:

<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>					//!ELEMENT:用于定义元素的名字
<!ELEMENT from (#PCDATA)>				//#PCDATA	ANY
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
<note>
<to>程咬金</to>
<from>貂蝉</from>
<heading>通知</heading>
<body>今天晚上,大战三百回合!</body>
</note>

以上 DTD 解释如下:

  • !DOCTYPE note (第二行)定义此文档是 note 类型的文档。
  • !ELEMENT note (第三行)定义 note 元素有四个元素:“to、from、heading,、body”
  • !ELEMENT to (第四行)定义 to 元素为 “#PCDATA” 类型
  • !ELEMENT from (第五行)定义 from 元素为 “#PCDATA” 类型
  • !ELEMENT heading (第六行)定义 heading 元素为 “#PCDATA” 类型
  • !ELEMENT body (第七行)定义 body 元素为 “#PCDATA” 类型

这里解释一下PCDATA和CDATA

PCDATA是会被解析器解析的文本。这些文本将被解析器检查实体以及标记。

CDATA:是不会被解析器解析的文本。

(2)外部DTD

假如 DTD 位于 XML 源文件的外部,那么它应通过下面的语法被封装在一个 DOCTYPE 定义中:

<!DOCTYPE root-element SYSTEM "filename">
  • 这里的SYSTEM,就算造成整个漏洞的核心

先声明一个note.dtd:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>

再写xml:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
  <to>周瑜</to>
  <from>黄盖</from>
  <heading>提示</heading>
  <body>老子不服输</body>
</note>

(3)DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。

  • 实体引用是对实体的引用。
  • 实体可在内部外部进行声明。
<!ENTITY entity-name "entity-value">

示例:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu [
  <!-- 元素声明 -->
  <!ELEMENT stu (name, age, address)>
  <!ELEMENT name (#PCDATA)>
  <!ELEMENT age (#PCDATA)>
  <!ELEMENT address (#PCDATA)>

  <!-- 实体声明 -->
  <!ENTITY name "亚瑟">
  <!ENTITY age "18">
  <!ENTITY address "对抗路">
  ]>
<stu>
  <name>&name;</name>
  <age>&age;</age>
  <address>&address;</address>
</stu>

注意: 一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (😉。

浏览器效果:

img

简单一点的案例:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE stu [<!ENTITY name "亚瑟">]>
<name>&name;</name>

浏览器效果:

img

(4)外部实体

和内部实体一致,只是DTD声明在外部。

语法:

<!ENTITY entity-name SYSTEM "URI/URL">

xml中引用外部dtd实体:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root[
<!ENTITY name SYSTEM "file:///D:/www/xxe/data.txt">]>
<root>
    <username>&name;</username>
</root>

注意:这个地方直接浏览器访问拿不到数据,需要程序读取。

data.txt中随意什么内容都可以。

核心在于SYSTEM关键字。

SYSTEM这个地方常用的协议:

file:///path/to/file.ext

http://url/file.ext

php://filter/read=convert.base64-encode/resource=conf.php

支持的协议:

img

其余的参考:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "file:///c://test/1.txt" >]>        
<value>&xxe;</value>

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "http://xxx.com/xxxx.php" >]>        
<value>&xxe;</value>

(4)参数实体

语法:

<!ENTITY % 实体名称 "实体的值">

或者

<!ENTITY % 实体名称 SYSTEM "URI">

注意: % 和 实体名字之间有一个空格

示例:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root [
<!ENTITY % name SYSTEM "http://localhost/xxe/test2.php">
%name;			<!--加载外部实体-->
]>

注意:参数实体只能在 DTD文件中被引用,其他实体在XML文档内引用。
参数实体 在DOCTYPE内 ,其他实体在DOCTYPE外

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root [
<!ENTITY % name SYSTEM "http://192.168.13.1/xxe/test.dtd">
%name;<!--加载外部实体-->
]>
<root>
    <username>&name;</username>
</root>
落樱坠入星野
关注
xxe漏洞详解
scu_hacker博客
12-17 3779
本文详细描述了xxe漏洞的原理、利用方式、防御方法
XXE漏洞
qi_SJQ_的博客
01-21 596
概念 全称XML External Entity Injection, 即xml外部实体注入漏洞,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口 扫描、攻击内网网站等危害。 了解一些xml,我们知道xml是一种数据存储类型,用于传输,而html用于显示。 XML被设计为数据和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可 选)、文档元素,其焦点是数据传输工具。 自己当初的学习笔记 XML与HTML的主要差异: XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设.
XXE 漏洞及案例实战
来日可期的博客
09-24 2936
XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
30_XXE漏洞、XML基础知识、XXE实体注入防御、XXE漏洞概念XXE实体注入测试
weixin_54591045的博客
08-10 158
-- DTD文档类型定义 -->ENTITY a "今天周三了">]>-- 父元素 -->-- 子元素 -->18&b;
XXE漏洞复现
m0_57485346的博客
03-15 681
XXE漏洞复现
Pikachu--XXE漏洞
weixin_53736204的博客
07-25 1122
XML文档结构由XML声明,DTD(文档类型定义),文档元素三部分构成!--定义此文档是 note 类型的文档-->!ELEMENT--定义note元素有四个元素-->--定义to元素为"#PCDATA”类型-->!ELEMENT!ELEMENT--定义from元素为"#PCDATA”类型-->!ELEMENT--定义head元素为"#PCDATA"类型-->!ELEMENT--定义body元素为"#PCDATA"类型--></</</</</》》》XML特性《《《
xml的xxe漏洞
m0_48907714的博客
04-25 4232
XXE漏洞 XML概念 XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 XML与HTML的主要差异 XML被设计为传输和存储数据,其焦
XXE漏洞简介
不怕死的假老练
09-05 2549
一、概述 XXE(XML External Entity Injection),即MXL外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站,发起dos攻击。 XXE漏洞触发的点出现在系统可以上传XML文件的位置,应用程序对XML输入进行解析时,没有对上传的XML文件内容进行过滤,没有禁止加载外部实体,导致攻击者可以构造一个恶意的XML文件进行上传。 二、基本概念 1.XML XML,即可扩展
XXE漏洞原理--简单理解
一醉一休的博客
03-16 3665
XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据 DTD(Document Type Definition 文档类型定义) 1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用 2.外部实体(即
未知攻焉知防——XXE漏洞攻防.pdf
09-18
XXE漏洞全称为XML External Entity Injection,即XML外部实体注入漏洞,是一种在应用程序中处理XML数据时出现的安全漏洞。本文将详细介绍XML的基础知识、XXE漏洞的攻击原理、影响以及防御措施。 XML(可扩展标记...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
如何用3个月零基础入门网络安全?_网络安全零基础怎么学习
2401_84466224的博客
10-15 1270
我们知道计算机最早是在西方发明出来的,很多名词或者代码都是英文的,甚至现有的一些教程最初也是英文原版翻译过来的,而且一个漏洞被发现到翻译成中文一般需要一个星期的时间,在这个时间差上漏洞可能都修补了。”答案是否定的,黑客用的电脑,不需要什么高的配置,只要稳定就行.因为黑客所使用的一些程序,低端CPU也可以很好的运行,而且不占什么内存.还有一个,黑客是在DOS命令下对进行的,所以电脑能使用到最佳状态!观看学习近十年所有0day挖掘的帖,然后搭建环境,去复现漏洞,去思考学习笔者的挖洞思维,培养自己的渗透思维。
前端开发攻略---8种方法实现在浏览器中跨页面通信
nibabaoo的博客
10-15 1301
浏览器实现跨标签页通信的多种方式
ARP欺骗
cyy001128的博客
10-16 931
ARP 欺骗(ARP spoofing)是一种网络攻击技术,通过发送伪造好的 ARP 数据包,伪装成网关使被攻击者误以为攻击者是其网关或其它设备,从而达到欺骗目标设备的目的。这样,攻击者就可以截获查看被攻击者发出的数据包,甚至可以修改、篡改数据包中的内容。arp欺骗最主要的目的是截获数据ARP欺骗攻击能导致网络连通性问题。注:网关并不是指具体的设备,路由器,计算机终端等各种各样的设备都可以是⽹关,⽹关就是数据必须经过的关⼝。
找到占用5601端口的进程ID
m0_46695127的博客
10-13 310
找到占用5601端口的进程ID
【信息安全管理与评估】2023年全国职业院校技能大赛赛题第04套
Play_Sai的博客
10-15 1133
取证的信息可能隐藏在正常的、已删除的或受损的文件中,您可能需要运用编码转换技术、加解密技术、隐写技术、数据恢复技术,还需要熟悉常用的文件格式(如办公文档、压缩文档、图片等)。A 集团的 Ubuntu 服务器被黑客入侵,该服务器的 Web 应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。这种攻击叫做( )。
H-TCP 的效率和公平性
Netfilter
10-15 1916
minrtt,即 BDP,使带宽不至于因过度收敛而浪费,这就是信息注入的作用,H-TCP 思路类似,但采用了更为巧妙的做法,直接使用 minrtt / maxrtt 作为 β,更加直观,maxrtt - minrtt 就是最大排队时延,它的占比恰好就是要 drain 掉的部分。MD 收缩越激烈,收敛越快,但可能收缩到 BDP 之下造成带宽利用率不足,因此 β 要适中。H-TCP 的效果是,它实时监控带宽的变化,根据这个变化率设置 β 的值。简单模拟一下 β 的效果。至于 α,看公式,不多说,一样的套路。
OSI七层协议
hexadecimal_001的博客
10-14 671
OSI(Open System Interconnection)七层协议,即开放式系统互联参考模型,是一个由国际标准化组织(ISO)提出的用于描述计算机网络中通信的结构和功能的理论模型。它将网络通信过程分为七个层次,每个层次都有特定的功能和协议。
如何识别并防范网络诈骗?
最新发布
10-17 232
你可以通过查看地址栏中的锁定图标来检查网站的安全性。11.报告可疑活动:如果你认为你已经成为诈骗的受害者,或者收到了可疑的通信,立即报告给当地的执法机构或网络犯罪投诉中心。7.更新软件和应用程序:定期更新你的操作系统、浏览器和其他软件,以确保你拥有最新的安全补丁。14.监控银行和信用卡账户:定期检查你的银行和信用卡账户,以便及时发现任何未授权的交易。9.检查网站的隐私政策和用户协议:合法的网站通常会有详细的隐私政策和用户协议。5.使用复杂的密码:为你的在线账户设置复杂且独特的密码,并定期更换它们。
XXE漏洞深度解析与实战演练
XXE漏洞主要发生在使用XML解析器处理用户输入的场景,攻击者可以通过构造恶意的XML文档来获取敏感信息、执行远程代码甚至发起DoS攻击。此外,文中还提到了一个VulnHub靶场XXE Lab:1的过关记录,适合对前后端有一定...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

落樱坠入星野

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值