XML\XXE漏洞基本原理

已于 2024-10-17 19:51:53 修改
阅读量648 收藏 3
点赞数 3
分类专栏: 渗透测试 # web渗透 文章标签: xml
于 2024-10-17 19:50:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2302_79590880/article/details/142984934
版权

前言

欢迎来到我的博客

个人主页:北岭敲键盘的荒漠猫-优快云博客

本文整理XXE漏洞的相应信息

XML与XXE漏洞

这个东西有许多叫法,XML漏洞与XXE漏洞差不多都是一个东西。

这个漏洞是出现在XMl上的,然后可以叫他XXE注入漏洞。

XML简介

XML是一种数据的传输形式。

就是前端给后端,后端给前端传参数用的

通常我们post提交数据是这样的。

user=111&pass=222

还有一种是现在常用的json

{"login":[
    {"user":"111","pass":"222"},
]}

然后就是我们的XML

<login id="1">
    <user>111</user>
    <pass>222</pass>
</login>

跟html有点类似,就是数据包里传给后端,然后后端从里面解析数据的一种方式。

漏洞产生原因

由于后端接收XML之后会进行解析,如果我们在XML中插入恶意代码的话,那么后端就会执行恶意代码被攻击。

判断是否采用xml传输

content-type判断

数据包中的content-type会标识传输的类型。

这里是json的(现在绝大多数网站都是json)。

如果对方是XML格式的话这里就是XML了。

数据类型判断

直接看传递的数据。

如果是上面XML那个样子的格式,那就是XML的。

基本攻击手法

就是利用XXE可以解析的特点执行恶意代码。

最主要的攻击手法是文件读取

<?xml version="1.0"?>
<!DOCTYPE xiaodi [
<!ENTITY test SYSTEM  "file:///d:/1.txt">
]>
<user><username>&test;</username><password>xiaodi</password></user>

案例演示

剩下的绕过思路与特殊玩法以及靶场攻略在别的博客中

别着急。。一个个写。。在写了在写了。。。到时候链接放过来。

特殊玩法与绕过思路

ctfshowXXE靶场全攻略

XXE漏洞原理
2301_80361487的博客
02-01 637
在解析XML文档的过程中,关键字’SYSTEM’会告 诉XML解析器,entityex 实体的值将从其后的URI中读取。5、有些XML解析库支持列目录,攻击者通过列目录、读文件,获取帐号密码后进一步攻击,如读。攻击者通过构造恶意的外部实体,当解析器解析了包含“恶意”外部实体的XML类型文。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。攻击者强制XML解析器去访问攻击者指定的本地系统上或是远程系统上的资源内容。进行敏感字符的过滤,从而可以造成命令执行,目录遍历等。
XXE漏洞:原理、危害与修复方法详解
C_V_Better的博客
02-26 824
XXEXML External Entity Injection)漏洞,即XML外部实体注入漏洞。当服务器端解析XML允许外部实体加载时,攻击者在请求中插入的恶意XML外部实体被服务器端加载解析,从而导致任意文件读取、探测内网、执行系统命令等安全问题。XXE漏洞是一种严重的安全漏洞,可能导致任意文件读取、命令执行、拒绝服务攻击和SSRF攻击等危害。通过禁用外部实体、严格输入验证和过滤、安全配置服务器以及升级解析器版本等方法,可以有效防止XXE漏洞的发生。
XXE-XML实体注入漏洞
2301_80661529的博客
03-07 1650
DTD(document type definition)文档类型定义用于定义XML文档的结构,它作为xml文件的 一部分位于XML声明和文档元素之间,比如下面DTD它就定义了 XML 的根元素必须是message,根元素下面有一些子元素,所以 XML必须像下 面这么写:其中,DTD需要在!DOCTYPE注释中定义根元素,而后在中括号的[]内使用!ELEMENT注 释定义各元素特征。
深入理解 XXE 漏洞:原理、利用与防范
m0_57836225的博客
02-26 728
DTD(Document Type Definition,文档类型定义)用于为 XML 文档定义语义约束,可以把它理解为一个模板。通过 DTD,可以定义 XML 文档中允许出现的元素、元素的类型、元素之间的关系以及元素的属性等。
java xxe漏洞利用_XXE漏洞攻防原理
weixin_42503415的博客
03-09 1038
方便永远是安全的敌人你的知识面,决定你的攻击面1简述XXE(XML External Entity)是指xml外部实体攻击漏洞XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。而如今越来越多的WEB程序被发现和报告...
XXE漏洞01】XML漏洞原理及实验
Fighting_hawk的博客
03-21 3096
1. 了解XXE的内容和原理。 2. 掌握XXE漏洞利用方法。 3. 掌握XXE漏洞的修改建议。
什么是XXE漏洞XXE漏洞的原理
weixin_47112073的博客
10-25 594
因为最近做的靶机关于XXE漏洞,这里简单写一下什么是XXE漏洞,自己理解的东西,一来方便自己经常回顾,二来对还没有接触过XXE漏洞的朋友来说也比较友好
XXE&XML漏洞详解
剁椒鱼头没剁椒的博客
12-29 4606
这里我对XML也不是太懂,无法对其进行解释,同时也怕解释出现错误,使其误导,这里我发一下参考链接。XML教程文档类型定义(DTD)可定义合法的XML文档构建模块,它使用一系列合法的元素来定义文档的结构。DTD 可被成行地声明于XML文档中(内部引用),也可作为一个外部引用。内部声明DTD: 引用外部DTD: DTD文档中有很多重要的关键字如下:DOCTYPE(DTD的声明)
XXE漏洞原理及防御方式。
dreamthe的博客
11-16 3671
写这篇文章目的就是想认真理理XEE这个漏洞,因为在学习过程中,听过老师的一些课,看过很多文章解释,我觉得讲的都是很官方话或者专业用语,对于初学者理解很难,可能我理解能力不够哈,嘻嘻。以下内容仅仅是我个人理解,以及我个人的比喻,比喻可以让你更好理解这个东西,这是我学习的一个方法,可是使的抽象的东西变得比较具体一些。 xml简单了解 XXE这个漏洞的理解,首先我们了解xml文档,因为该漏洞就是由xml文档引起的 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用.
SCAN_XXE:利用XML XXE漏洞
05-07
在"SCAN_XXE:利用XML XXE漏洞"的主题中,我们将深入探讨这一安全威胁及其防范措施。 XML是可扩展标记语言(eXtensible Markup Language),广泛用于数据交换和配置文件。XML解析器在处理文档时,会识别并处理实体...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXEXML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细介绍 XXE 漏洞的利用方法,特别是任意...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
**一、XXE漏洞原理** XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以...
Mybatis逆向工程详解(附源码文件)动态创建实体类、条件扩展类、Mapper接口、Mapper.xml映射文件
道阻且长,行则将至
06-10 1141
MyBatis逆向工程是一种自动化生成代码的工具,它能够根据数据库表结构自动创建对应的Java实体类、Mapper接口以及Mapper映射文件。
MyBatis Plus 中 xml 文件的一个例子
wh_xia_jun的专栏
06-11 787
【代码】MyBatis Plus 中 xml 文件的一个例子。
XMLGregorianCalendar跟Date、localDateTime以及String有什么区别
qq_43535972的博客
06-09 323
支持任意精度(年、月、日、时、分、秒、毫秒等)。,也没有时区支持(依赖系统默认时区)。(如 SOAP/WSDL、XSD 的。(Java 8+ 标准,清晰易用)。,属于现代日期时间 API(,并提供丰富的操作方法(如。,仅作为格式化后的文本(如。,仅表示本地日期时间(如。(大部分方法已废弃,如。(除非维护旧系统)。
一个教学项目pom.xml杂记
wh_xia_jun的专栏
06-11 482
parent>groupIdcom.neueduartifactIdhis-webversionSNAPSHOT1.0.0这里列出了项目运行和开发所需的所有库,Maven 会自动下载这些依赖及其传递依赖。
数据集转换xml2txt 、xml2json、json2coco
weixin_46455069的博客
06-09 370
【代码】数据集转换。
不同配置文件格式对比解析:XML、JSON、INI 和 TOML 你更喜欢哪个?
vortex5的博客
06-11 605
配置文件格式的选择没有绝对的“最好”,而是取决于具体需求。XML 承载了历史的厚重,JSON 定义了现在的便捷,INI 保留了简洁的传统,而 TOML 则代表了未来的优雅。从社区趋势来看,JSON 和 TOML 是当前最受欢迎的选择,前者凭借通用性取胜,后者以人性化设计崭露头角。你更喜欢哪种格式?是 JSON 的简洁,TOML 的优雅,还是其他?欢迎在评论区分享你的看法,让我们一起探讨配置文件的未来!
XML 注入与修复
最新发布
zqmattack的博客
06-12 439
XML注入攻击与SQL注入类似,攻击者通过输入恶意代码获取非授权权限。示例中用户注册数据未转义直接存入XML文件,攻击者可插入伪造节点(如添加管理员账户)。修复方法是对用户输入的关键字符(如<、>、"等)进行XML转义处理。具体实现是在保存数据前使用xmlencode()函数对输入参数进行过滤,防止恶意代码被解析为XML节点。该漏洞可通过严格输入验证和转义处理有效防范。
xxe漏洞原理及防御方式
05-25
XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北岭敲键盘的荒漠猫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值