安全渗透学习- Pikachu(XXE)

最新推荐文章于 2024-11-10 18:39:47 发布
最新推荐文章于 2024-11-10 18:39:47 发布
阅读量803 收藏
点赞数 1
分类专栏: WEB渗透 文章标签: 安全漏洞 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Refrain_mh/article/details/120226289
版权

XXE(XML External Entity Injection) XML外部实体注入

与SQL注入相对应,XXE就是在可以解析XML的地方(比如一个输入框等处)只要可以解析XML语言的代码就可以,在这种地方提交XML的恶意代码来执行。

XXE漏洞主要也是因为没有对用户输入(用户提交的数据,比如你在输入框输入这个XML恶意代码)并没有合理检测与过滤,将用户提交的数据当XML来执行,造成XXE(XML外部实体注入),最简单的利用方法其实就是用hackbar V2里的XXE选项,它自带了XXE的payload生成功能,直接复制然后放到输入框(可以解析XML代码的地方)就可以了。

所以要了解XXE漏洞,首先需要学习了解XML的组成

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言 (就是如果数据都放到html中的话整个html就会显得特别臃肿,由此,html只用来展示网页的页面,而XML则用来负责存储和传输相关的数据,各司其职)

XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

XXE漏洞的话主要是因为DTD的部分出了问题

常见的XML语法结构如下所示

DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明,也可以外部引用。

DTD(Document Type Definition,文档类型定义),用来为 XML 文档定义语法约束,可以是内部申明也可以使引用外部DTD现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。

 内部申明DTD格式 

<!DOCTYPE 根元素 [元素申明]>

 外部引用DTD格式

<!DOCTYPE 根元素 SYSTEM "外部DTD的URI">

引用公共DTD格式

<!DOCTYPE 根元素 PUBLIC "DTD标识名" "公共DTD的URI">

pakachu靶场安装:

直接利用docker安装

sudo docker run -d -p 8000:80 area39/pikachu:latest

然后 docker ps -a查看运行镜像

然后ip:8000端口直接访问

构造payload

<?xml version = "1.0"?>

<!DOCTYPE note [

    <!ENTITY hacker "test">

]>

<name>&hacker;</name>

外部实体引用Payload 查看服务器文件

<?xml version = "1.0"?>

 <!DOCTYPE ANY [

     <!ENTITY f SYSTEM "file:///etc/passwd"> ]>

 <x>&f;</x>

防御办法

使用开发语言禁用外部实体;

过滤SYSTEM、PUBLIC等关键字;

xxe-lab地址:https://github.com/c0ny1/xxe-lab

33-3 XXE漏洞 - XXE外部实体注入(文件读取)
weixin_43263566的博客
04-02 544
这个XML文档看起来很简单,但实际上它包含了一种XML外部实体注入(XXE)攻击。通过在DTD中定义恶意实体并在XML文档中引用它们,攻击者可以利用XXE漏洞来读取敏感文件、执行命令或进行其他恶意操作。实体可以在XML文档中被引用,类似于变量,在文档解析过程中会被替换为其定义的值。:这是DOCTYPE声明,用于指定XML文档的文档类型定义(DTD)。,但实际上它可以被定义为任何攻击者想要的内容,包括文件路径、命令等。:这是XML文档的声明部分,指定了XML版本和字符编码。:在DTD中定义了一个实体。
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
箭雨镜屋
02-17 8420
一、来自官方的介绍以及来自民间的扩展 1、pikachu官方简介 2、小女子之前画的脑图 3、两个个人感觉不错的博客 https://www.freebuf.com/articles/web/177979.html https://lalajun.github.io/2019/12/03/WEB-XXE/ ...
皮卡丘(pikachu)XXE
weixin_44787832的博客
07-23 2656
XXE漏洞 第一部分:XML声明部分 <?xml version="1.0"?> 第二部分:文档类型定义 DTD <!DOCTYPE note[ <!--定义此文档是note类型的文档--> <!ENTITY entity-name SYSTEM "URI/URL"> <!--外部实体声明--> ]> 第三部分:文档元素 <note> <to>Dave</to> <from>T
Pikachu-XXE
baynk的博客
11-19 4149
0x00 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从...
安全小白的pikachu靶场学习笔记(一)---暴力破解
m0_46103905的博客
05-30 365
针对pikachu中暴力破解的学习笔记
Pikachu的渗透测试
Cper的博客
10-29 1174
Pikachu靶场渗透测试的实践与总结
搭建pikachu靶场 xxe
最新发布
03-03
### Pikachu靶场中的XXE漏洞配置与测试 #### 下载并安装Pikachu靶场 为了进行XXE漏洞实验,需先下载Pikachu靶场。访问GitHub仓库链接[^2],克隆项目至本地环境。 对于Windows平台而言,在完成PHPStudy的部署之后,...
WEB漏洞-XXE&XML之利用检测绕过
m0_65137829的博客
07-24 1620
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
Pikachu靶场练习总结
weixin_47387913的博客
03-05 3200
Pikachu靶场练习总结 前辈们好!作为一个进入安全行业的初学者,靶场练习必不可少,我将我对某些靶场练习的总结写在这里,错误之处请多多指正。 靶场:pikachu 关卡:暴力破解 基于表单的暴力破解: 先看提示: 用户名和密码我们都是不清楚的,可建立密码库利用burp中的Intruder功能进行暴力破解,先通过Proxy截取报文,发送到Intruder中。 因为用户名和密码都是不清楚的,那么我们要添加username和password2个爆破选...
渗透测试环境搭建PHPstudy+Pikachu
came_861的博客
12-20 344
渗透测试环境搭建PHPstudy+Pikachu
pikachu渗透靶场&Web安全从入门到放弃】之 越权漏洞
algae
04-17 812
46.9-2 垂直越权漏洞原理和测试流程案例(Av96582332,P46) if(isset($_GET['submit']) && $_GET['username']!=null){ //没有使用session来校验,而是使用的传进来的值,权限校验出现问题,这里应该跟登录态关系进行绑定 $username=...
网络渗透测试——pikachu基于表单的暴力破解
a250278984的博客
11-10 410
其中包含正确的账号密码,payload pisition 1和2都Load这个wordlist(*若为旧版,只需payload position为2,然后导入一个就行,最新版把payload position分开导入字典了)然后打开Intruder界面,可以看到一下信息,选中abc和123作为payload position(版本为v 2024.9.5版本,不同版本操作略有不同)得到报文,首先看报文长度,正确的密码和错误的密码有时长度会明显不同,因为应答报文成功和失败的报文可能是不同的,如图。
pikachu通关教程(XXE
Bu2n的博客
12-15 1354
xxe漏洞 xxe漏洞 源码 $html=''; //考虑到目前很多版本里面libxml的版本都>=2.9.0了,所以这里添加了LIBXML_NOENT参数开启了外部实体解析 if(isset($_POST['submit']) and $_POST['xml'] != null){ $xml =$_POST['xml']; // $xml = $test; $data = @simplexml_load_string($xml,'SimpleXMLElement',LIBX.
渗透测试——pikachu环境部署
Boom!脑洞大爆炸的博客
07-29 2265
手把手教你部署pikachu渗透测试平台
pikachu皮卡丘渗透测试靶场】远程命令、代码执行漏洞原理及案例演示
algae
04-17 2323
37.6-1 远程命令、代码执行漏洞原理及案例演示(Av96582332,P37) RCE(remote command/code execute)概述 RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。 远程系统命令执行 一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口 ...
pikachu靶场 :十三、XXE
qq_43233085的博客
02-02 856
pikachu靶场 :十三、XXE概述XXE 漏洞盲注 概述 XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 具体的关于xml实体...
web安全_皮卡丘_csrf
weixin_44110913的博客
03-05 782
csrf源码分析 pikachu-csrf: CSRF(get) allen的住址是nba76,lucy的住址为usa,allen想...
web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1455
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
WEB安全渗透测试-pikachu&DVWA&sqli-labs&upload-labs&xss-labs靶场搭建(超详细)
m0_69583059的博客
01-23 3560
对于web安全刚入门的小伙伴来说,漏洞靶场搭建是很重要的,可以通过靶场学以致用,对所学知识点进行巩固练习。下面和我一起搭建5个比较常用的初学者入门靶场,演示搭建环境:win11系统+phpstudy。
pikachu-maste中xxe
01-08
### 关于 Pikachu-Master 项目中的 XXE 漏洞 #### 解决方案概述 针对 Pikachu-Master 项目中存在的 XML 外部实体 (XXE) 漏洞,主要的防护措施集中在防止恶意输入被解析器处理以及限制外部资源访问。具体来说: - **禁用外部实体扩展**:通过配置应用程序使用的 XML 解析库来阻止其加载来自外部的 DTD 实体声明[^3]。 - **验证并清理用户输入**:确保所有接收自用户的 XML 数据都经过严格的模式校验或白名单过滤机制,从而排除潜在危险字符和结构。 - **采用安全编码实践**:遵循 OWASP 推荐的安全开发指南,在编写涉及文件操作、网络请求等功能模块时特别注意防范注入类风险。 #### 技术实现细节 对于 PHP 应用程序而言,可以通过设置 `libxml_disable_entity_loader(true)` 来关闭默认开启的外部实体加载功能,这一步骤应当尽可能早地执行以覆盖整个应用生命周期内的所有 XML 解析活动[^4]。 另外一种方法是在服务器端对上传的内容进行预处理,移除不必要的 DOCTYPE 声明部分,并替换掉可能引起问题的标准实体引用形式,例如下面这段代码展示了如何利用正则表达式完成这一任务: ```php <?php function sanitize_xml($input){ $pattern = '/<!DOCTYPE.*?>/'; return preg_replace($pattern, '', htmlspecialchars($input)); } ?> ``` 此外,还可以考虑引入专业的第三方组件如 [XMLReader](https://www.php.net/manual/en/book.xmlreader.php),它提供了更细粒度控制的能力用于读取大型 XML 文档而不必一次性将其全部载入内存中;同时配合使用 [DOMDocument::loadHTML()](https://www.php.net/manual/en/domdocument.loadhtml.php) 方法代替原始的 load 函数也能有效规避某些类型的 XXE 攻击向量。 #### 预防建议 为了进一步降低遭受此类攻击的可能性,开发者还应该定期审查依赖项是否存在已知漏洞,并及时更新至最新版本;保持良好的日志记录习惯以便快速响应异常情况的发生;最后也是最重要的一点就是加强团队内部关于 Web 安全意识方面的培训教育工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值