WEB入门——XXE注入安全

最新推荐文章于 2025-06-21 21:38:58 发布
最新推荐文章于 2025-06-21 21:38:58 发布
阅读量406 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: CTF入门 文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HasntStartIsOver/article/details/131114242

XXE注入安全

一、XXE注入安全

XXE即XML外部注入漏洞。XXE漏洞发送在应用程序解析XML输入时,没有禁止外部实体的加载,导致可以加载恶意外部文件,造成文件读取、命令执行等。XXE漏洞出发点在可以上传XML文件的位置,对上传的XML文件过滤,导致上传恶意XML文件。

二、XML基础必备

用来传输和存储数据。没有预定义标签,用户可以自定义标签。

2.1 XML语法基础

https://www.w3school.com.cn/xml/xml_syntax.asp

  • 所有XML元素都必须有关闭元素。
  • XML标签对大小写敏感。
  • XML必须正确的嵌套。
  • XML元素必须有跟元素。
  • XML的属性值必须添加引号。

2.2 实体引用

  • <、>、&、'、"在XML中时特殊符号,需要用实体表示
特殊符号 实体 说明
< &lt; 小于
> &gt; 大于
& &amp; 和号
&apos; 单引号
" &quot; 双引号

2.3 DTD文档类型定义

DTD是定义XML文档合法构建的模块,可以在XML文档定义,也可以在外部引用。

2.3.1 内部的文档声明

  • <! DOCTYPE 根元素[元素声明]>
    <?xml version="1.0" ?>
<!DOCTYPE note[
	<!ELEMENT note (to,from,heading,body)>
	<!ELEMENT to (#PCDATA)>
	<!ELEMENT from (#PCDATA)>
	<!ELEMENT heading (#PCDATA)>
	<!ELEMENT body (#PCDATA)>
]>
<note>
	<to>xiaohong</to>
	<from>Xiaoming</from>
	<heading>hello</heading>
	<body>hi,xiaohong</body>
</note>

2.3.2 外部的文档声明

假如DTD位于XML源文件的外部,那么它应通过下面的语法被封装在一个DOCTYPE定义中

  • <! DOCTYPE 根元素 SYSTEM “文件名”>

    <?xml version="1.0">
 <! DOCTYPE note SYSTEM "note.dtd">
 <note>
	<to>xiaohong
最低0.47元/天 解锁文章
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1959
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
XXE外部实体引用注入的原理及利用
永远都没有了
02-17 772
XXE又称为XML,它是可扩展标记语言(Extensible Markup Language)的缩写,它是一种数据表示格式,常用于传输和存储数据。
XXE(外部实体注入)详解
2401_82576671的博客
01-23 2699
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
渗透之路基础 -- XXE注入漏洞
09-17 475
XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 类似于...
XXE实体注入(超详细!)
qq_45300786的博客
09-06 1万+
可以把它理解为txt,就是存储文件的, 读取并调用出来,这是最核心的 将你的代码当成XXE代码,然后XXE再交给PHP去执行 将1.txt的东西,放入test这个变量 实体就是变量 &test就是输出这个变量 <scan></scan>只是一个声明格式,随便写什么,就算写成<abc></abc>都可以,只要满足<x></x>格式就行 最主要的是访问的地址,file,http等协议都可以。 XXE:XML外部实体注入,原理:.
web安全】——XXE漏洞快速入门
热门推荐
Demo不是emo的博客
11-27 1万+
XXE漏洞很难不想学?带你快速入门
CTFshow——XXE
D.MIND 的博客
08-23 979
web373 <?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_i
XXE漏洞学习——基础学习(ctfshow—web373)
m0_73756016的博客
06-03 1081
XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。
xxe漏洞——无回显(ctfshow web374——378)
m0_73756016的博客
06-04 700
题目过滤的字符串,两个之间只有一个空格,我多打一个就变成了两个,不影响功能同时也绕过了过滤。导致了这题可以注入实体但是没有回显,所以我们考虑数据外带。访问一个请求,把数据加到请求上。但是我看我上题的payload也没有<\?xml version="1.0">在自己的vps上的test.dtd文件脚本。请求访问攻击者服务器的1337端口。和那个xxe lab撞js了;最后的引用来引用去的代码就相当于。比上题少了几行代码,分别是。空格绕过,我多打一个空格在。和上面那题比多过滤了大小写。查看我们flag的值。
网络安全技术引导入门———如何学习网络安全
A1_3_9_7的博客
03-30 1937
通俗地讲,网络安全就是网络系统的硬件,软件及其系统中数据受到保护,不因偶然的和恶意的原因而遭受破坏,更改和泄漏,系统能够连续、可靠、正常地运行,网络保持不中断​。
XXE注入
yy1715713348的博客
06-29 922
🆗,关于 XXE漏洞的总结大致就这些了,后面遇到新的 XXE利用方式再补上。
【网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1253
想要了解XXE,在那之前需要了解XML的相关基础
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
bluemoon_0的博客
03-17 1226
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
Qt + C++ 入门2(界面的知识点)
最新发布
灵性化火博客
06-21 138
本文主要讨论Qt界面开发的关键要点。首先指出Qt Designer生成的UI界面虽适合新手,但存在前后端耦合性高的问题,不推荐用于复杂项目。其次重点讲解界面切换的两种实现方式:一种是基于指针嵌套的方法,但要注意避免多层嵌套;另一种更推荐使用信号槽机制的大类管理方式,而非QStackedWidget。文章还提及界面控件和布局等内容,强调在实际开发中要注意类名大小写、背景设置等细节问题。
java开发为什么要分层
技术分享
06-21 669
java开发为什么要分层
vue中常用的api($set,$delete,$nextTick..)
qq_48763502的博客
06-17 983
set是 Vue 实例的一个方法,用于向响应式对象添加一个新的 property,并确保这个新 property 同样是响应式的,且触发视图更新。$set是 Vue 2.x 中解决响应式限制的重要工具,合理使用可以确保数据变化的响应性。但在 Vue 3 中,由于响应式系统的改进,$set的使用场景大大减少。在开发中,应根据 Vue 版本和具体场景选择合适的数据操作方式。$nextTick$nextTick在数据变化后安全地操作DOM确保获取到最新的DOM状态与第三方库正确集成。
python调用高德API查询两点间的路线规划
Cesare的博客
06-17 616
本文介绍了一个基于Python Flask框架开发的路线规划系统,该系统利用高德地图API实现地理位置编码和路线规划功能。系统支持步行、骑行和驾车三种出行方式,用户可在前端输入起点/终点后,后端通过高德API获取坐标并生成路线。系统架构包含Flask主程序(app.py)、配置文件(config.py)和前端页面(index.html),实现了地图显示、路线绘制、距离/时间计算等核心功能,并支持出行方式切换和地图交互。文章详细说明了API调用逻辑和不同出行模式的数据处理方式,特别是骑行API的特殊处理流程。
征信查询个人信用查询流量主微信小程序开源
weixin_44039884的博客
06-21 100
征信查询个人信用查询流量主微信小程序开源
ctfshow web 入门xxe
08-23
根据提供的代码和引用内容,ctfshow是一个XML实体节点,而xxe是用来指代外部实体的名称。在给定的代码中,XML实体被加载并解析成一个SimpleXMLElement对象,然后从中提取了ctfshow节点的值,并进行输出。通过提供合适的XML实体值,可以利用XXE(XML外部实体注入)漏洞来执行一些攻击,比如读取文件内容等。 要利用XXE漏洞进行ctfshow的Web入门,可以构造一个恶意的XML实体,例如: <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <test> <ctfshow>&xxe;</ctfshow> </test> 这个恶意的XML实体中,xxe指向了文件/etc/passwd,当这个实体被解析时,它的值会被替换为/etc/passwd文件的内容。通过将这个构造好的XML实体发送给目标服务器,可以触发XXE漏洞并读取/etc/passwd文件的内容。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [ctfshow web入门 XXE web373~web378](https://blog.youkuaiyun.com/qq_62989306/article/details/126839849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [ctfshow web入门 XXE](https://blog.youkuaiyun.com/jie_a/article/details/117532704)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值