Xxe外部实体注入(XML External Entity Injection)

已于 2024-01-23 16:51:01 修改
阅读量1.1k 收藏 29
点赞数 25
分类专栏: 笔记 文章标签: xml 安全 笔记 web安全 网络安全
于 2024-01-23 16:09:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyunpeng3189/article/details/135773700
版权

原理

程序在解析XML文档输入时,没有禁止外部实体的加载,导致可加载外部的恶意文件,造成文件读取,命令执行,内网扫描,攻击内网网站等危害

危害

XML可以从外部读取DTD文件,如果将路径换成另一个文件的路径,那么服务器在解 析这个XML的时候就会把那个文件的内容赋值给SYSTEM前面的根元素中,只要我们在XML 中让前面的根元素的内容显示出来,就可以读取那个文件的内容。这就造成了一个任意文件 读取的漏洞。

Xxe防御方法

禁用外部实体

使用过滤机制

升级你的XML文档版本

禁止使用外部实体

Xml是什么

Xml是可扩展标记语言,Xml引入外部实体而XML的设计宗旨是传输数据,不是显示数据,所以XML是各种应用程序之间数据传输最常用的格式。「与HTML的区别在于一个被设计用来展示数据,一个用来传输数据」。

特点

XML 的设计宗旨是传输数据,而非显示数据

XML 标签没有被预定义,需要自行定义标签。

XML 被设计为具有自我描述性。

XML 是 W3Cwww.com) 的推荐标准

Xml引入外部实体与内部实体

外部实体是xml对本服务器外的服务器进行访问的动作,内部实体就是在本服务器执行动作,一般情况下内部实体是攻击者利用不到的

xml结构

结构分为三部分声明,XML声明、DTD文档类型定义(可选)、文档元素

DTD(文档类型定义)

dtd作用是定义 XML 文档的规则模块。DTD 可以在 XML 文档内声明,也可以外部引用。

Xxe使用的伪协议

file:用来加载本地文件
http:用来加载远程文件
ftp:用来访问ftp服务器上的文件
php:用来读取php源码

利用方式

探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码

无回显的xxe怎么利用

(1)使用dnslog平台进行数据外带
(2)构造远程dtd文件造成文件外泄

Xxe详细防御方法

禁用外部实体

这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。

代码层禁用

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

.setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);

.setFeature("http://xml.org/sax/features/external-general-entities",false)

.setFeature("http://xml.org/sax/features/external-parameter-entities",false);

Python:

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=

False))

使用过滤机制

在web

服务器中设置黑白名单,对用户输入的数据进行严格的限制,从而防止用户输入恶意数据,断绝产生 XXE的可能性

过滤关键词

<!DOCTYPE、<!ENTITY、SYSTEM、PUBLIC、等DTD中外部实体常用关键词

升级你的XML文档版本

这是防范最不严格的手段,他仅仅只是升级到了更新的版本,有了更加安全的默认配置。在ibxml 2.9.0以后, 默认不解析外部实体,或者禁止使用外部实体。但是依然可以通过手动开启的方式来开启对XML的解析和外 部实体的使用。

下载地址:http://www.linuxfromscratch.org/blfs/view/cvs/general/libxml2.html

工具进行自我检查

由于XXE是一种通用型漏洞,所以在他最初被发现后,经过一段时间就被人开发出了综合利用工具,包含了 基本所有常用的XXE利用手段。我们可以利用工具进行自我检查,并及时修复。

下载地址:https://github.com/enjoiz/XXEinjector/archive/master.zip

其中工具常用的功能参数有以下这些

--host 必填项– 用于建立反向链接的IP地址。(--host=192.168.0.2)

--file 必填项- 包含有效HTTP请求的XML文件。(--file=/tmp/req.txt) --path 必填项-是否需要枚举目录 – 枚举路径。(--path=/etc)

--brute 必填项-是否需要爆破文件 -爆破文件的路径。(--brute=/tmp/brute.txt)

--rhost 远程主机IP或域名地址。(--rhost=192.168.0.3) --rport 远程主机的TCP端口信息。(--rport=8080)

--phpfilter 在发送消息之前使用PHP过滤器对目标文件进行Base64编码。 --proxy 使用代理。(--proxy=127.0.0.1:8080)

--output 爆破攻击结果输出和日志信息。(--output=/tmp/out.txt)

--timeout 设置接收文件/目录内容的Timeout。(--timeout=20)

我的吉他叫向日葵
关注
专栏目录
xxe-xml外部实体注入
nigo134的博客
07-27 2995
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
Xxe外部实体注入XML External Entity Injection)_externalmetadata
m0_61549674的博客
04-06 809
网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。探测内网信息、攻击内网网站、读取本地文件、读取远程文件、读取php源码。
XXE (XML External Entity Injection) :XML外部实体注入
weixin_33843409的博客
07-18 202
XXE (XML External Entity Injection) 0x01 什么是XXE XML外部实体注入 若是PHP,libxml_disable_entity_loader设置为TRUE可禁用外部实体注入 0x02 XXE利用 简单文件读取 基于file协议的XXE攻击 XMLInject.php <?php #Enable...
检测XXE漏洞的工具
最新发布
weixin_68416970的博客
09-04 860
为了检测XXEXML外部实体)漏洞,可以使用多种工具。:这是一个基于Python编写的XXE漏洞扫描器,它采用自动化扫描方式,可以快速遍历目标URL,并利用精心构造的payload集合进行多维度探测,以发现各种类型的XXE漏洞。:Xray是一款功能强大的安全评估工具,支持主动和被动扫描方式,以及多种常见Web漏洞的自动化检测,包括XXE漏洞检测。
XXE--XML外部实体注入
Y22Lee的博客
04-20 273
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 2046
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XXEXML外部实体注入)详解
一期一会的博客
01-22 5276
XXE漏洞 XXE(XML External Entity Injection)又称为“XML外部实体注入漏洞”。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 XML简介 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTM
XXE全称XML External Entity Injection漏洞.pdf
07-05
XXE全称XML External Entity Injection漏洞,是一种在应用程序解析XML输入时由于未能禁止外部实体加载而引发的安全漏洞。该漏洞可以被利用来执行文件读取、命令执行、内网端口扫描等多种攻击。 XML(eXtensible ...
XXE漏洞-XML 外部实体注入
zeroc009的博客
02-11 2771
XXE漏洞-XML 外部实体注入xxe介绍xml基础知识新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 xxe介绍 Xml外部实体注入漏洞(XML External Entity Injection)简称XXEXXE漏洞
通过JAXB看XML外部实体注入(XML External Entity)
aty
07-14 6681
JAXB的使用与XXE攻击的防御
XXEXML External Entity Injection
四问四不知的博客
05-27 1420
参考链接:http://xz.aliyun.com/t/3357
XML External Entity Injectionxml外链实体注入
weixin_30632089的博客
10-13 589
XML External Entity Injectionxml外链实体注入xml 外联实体 参考博客:http://blog.csdn.net/cristianojason/article/details/51000438 例如: 源文件 <?xml version="1.0" encoding="GBK"?> <!DOCTYPE root[...
XXEXML外部实体注入
一个普普通通的博客
04-18 919
XXE
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 1468
文章目录什么是XML外部实体注入XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
[20][03][14] XML External Entity Injection(XXE)
安全新司机
05-19 461
文章目录1. 描述2. 场景3. 复现问题3.1 解析 XML 文件或 xml 字符串4. 如何解决 XXE4.1 升级第三方组件版本至安全版本4.2 主动防御外部实体 1. 描述 在对外部接口传入的 xml 类型的参数或 xml 文件,在代码中需要对这些未经合法性校验的参数进行 xml 解析时,执行里面隐藏的外部实体,从而引发安全问题 2. 场景 解析 xml 字符串 解析 xml 文件 3. 复现问题 3.1 解析 XML 文件或 xml 字符串 待解析 xml 文件,命名为 xxe.xml &
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 601
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"。 XML 允许创作者定义自己
XML外部实体注入(XXE)
web1的博客
09-08 523
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XXE XML外部实体注入
探测???
11-09 519
是一种 XML 注入攻击,它利用了 XML 解析器在处理 XML 文档时存在的漏洞。攻击者通过在 XML 文档中插入外部实体的引用,可以引导 XML 解析器读取攻击者控制的外部文件,进而获取敏感信息或执行恶意代码。XML DTD(文档类型定义)是一种定义XML文档结构的规范,它为XML文档提供了一种语法规则,规定了文档中所使用的元素、实体、元素的属性、元素与实体之间的关系。xml!!!ELEMENT。
[轉]XXE(XML External Entity attack)XML外部实体注入攻击
03-26 437
原文地址:https://www.freebuf.com/column/181064.html 作者:i春秋学院 References:https://gist.github.com/AlainODea/1779a7c6a26a5c135280bc9b3b71868fhttps://github.com/OWASP/CheatSheetSeries/blob/master/cheatshee...
XML外部实体注入XXE)漏洞详解
XXEXML External Entity Injection)漏洞是网络安全领域的一个重要话题,它出现在应用程序处理XML输入时未能正确限制外部实体的加载。XML是一种类似于HTML的语言,允许用户自定义标签来结构化数据。而XML External...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值