浅谈XXE攻击

最新推荐文章于 2025-06-18 14:08:40 发布
最新推荐文章于 2025-06-18 14:08:40 发布
阅读量354 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YenKoc/article/details/103225570

二.XML基础

xml是一种用于标记电子文件使其具有结构性的标记语言,用于标记数据,和定义数据类型,可以为两种不同系统进行信息交换,
XML文档结构包括xml声明,DTD文档类型定义(可选),文档元素
在这里插入图片描述

二.DTD文档定义,可以内部声明,也可以外部引用

    <!DOCTYPE address [<!ELEMENT address (#PCDATA)>
                                            <!ENTITY name "Tanmay patil">
                                            <!ENTITY company "TutorialsPoint">
                                             <!ENTITY phone_no "(011) 123-4567">
                                              ]>

  1.       <!DOCTYPE 根元素 SYSTEM "DTD文件的URL">
            <!DOCTYPE address SYSTEM "address.dtd">
         <!DOCTYPE 根元素 PUBLIC "DTD名称" "DTD文件的URL">

3.实体声明,相等于定义了一个变量

<!ELEMENT>这块略过,对xxe影响不大,自行去菜鸟教程了解 <!ENTITY>(重点):

直接声明

<!ENTITY 实体名称 实体的值 引用外部 <!ENTITY 实体名称 SYSTEM "URI">

或者

<!ENTITY 实体名称 PUBLIC "public_ID" "URI">

三,如何判断xxe漏洞
这里用一题南邮的web1题来作为案例
在这里插入图片描述
bp抓包看下,

在这里插入图片描述
发现Content-type:application/xml,或者直接从请求报文就能看出是xml了,说明可以去利用xml解析器来帮我们做一些事
而且从题目提示中,得知flag就在/flag这个文件中。只要能弄到源码,就美滋滋了,所以想到xxe,那么直接看下我是怎么写的
在这里插入图片描述
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=/flag>这句的意思就是SYSTEM这个系统命名将这个url的文件内容读进了xxe这个实体。
所以答案就出来了。
在这里插入图片描述
解码下就ok了。以下,是发现几篇好文,可以更深入的了解。
知乎某老哥的资料分享
添加链接描述
添加链接描述

网络安全之XXE攻击
anquan2233的博客
10-12 1730
个人认为,XXE 可以归结为一句话:构造恶意 DTD介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞。既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE。XML 外部实体注入,全称为 XML external entity injection,某些应用程序允许 XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。我们之前在0x01<creds><user>&xxe;
XXE(xml外部实体攻击)
HoYim
04-11 4576
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
XXE攻击
极客
07-23 2594
XXE注入攻击: 一、概念:XML External Entity(XXE)即XML外部实体攻击;造成服务器上敏感数据泄露(任意文件读取)、执行系统命令、潜在的DOS攻击、探测内网端口等; 1、什么是XML: XML用于标记电子文件使其具有结构性的标记语言;它被设计用来传输和存储数据,XML使用元素和属性来描述数据,在数据传送过程中,XML始终保留了诸如父/子关系这样的数据结构,不同应用程序可以共享和解析同一个XML文件; 2、XML格式: 它可以用来标记数据、定义数据...
3种XXE不同攻击方式,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-18 371
XML外部实体(XXE)注入是一个严重的缺陷,允许攻击者读取服务器上的本地文件,访问内部网络,扫描内部端口或在远程服务器上执行命令。它针对解析XML的应用程序。当包含对外部实体的引用的XML输入由弱配置的XML解析器处理时,会发生此攻击攻击者通过在XML数据中嵌入恶意内联DOCTYPE定义来利用它。当Web服务器处理恶意XML输入时,实体将被扩展,这可能会导致攻击者访问Web服务器的文件系统,远程文件系统访问或通过HTTP/HTTPS建立与任意主机的连接。
xxe攻击(XML外部实体)
2301_79194110的博客
09-24 389
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。http://www.w3school.com.cn/dtd/index.asp 了解地址。
浅浅浅浅谈XXE漏洞(附XXE攻击实例CVE-2017-12629)
SoulCat
03-06 3926
- `山有木兮木有枝,心悦君兮君不知`
31-浅谈SSRF漏洞1
08-03
3. 利用脆弱组件和特殊协议(如ftp://, file:///, gopher://, dict://等)发起攻击,例如通过FFmpeg进行任意文件读取,或利用XXE漏洞。 检测SSRF攻击的方法通常涉及监控日志,寻找异常的内网IP请求,尤其是连续且...
浅谈—黑客最喜欢的攻击向量、技术或方法是什么?
C语言C++学习俱乐部:765860056
11-16 536
超过 38% 的黑客的答案是 XSS 漏洞,其次是 SQL 注入、模糊测试、业务逻辑、信息收集、SSRF、RCE、枚举、逆向工程、IDOR、暴力攻击、注入、CSRF、验证、XXE、DDoS。 常见网络攻击方式和说明 攻击方式说明 XSS 漏洞XSS 攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是 JavaScript,但实际上也可以包括 Java、 VBScript、ActiveX、 Fl.
浅谈php://filter的妙用
10-17
XML外部实体注入(XXE,XML External Entity Injection)是一种常见的安全漏洞,允许攻击者通过恶意构造的XML输入来获取服务器内部敏感信息。在处理XXE时,`php://filter`经常用于编码和转换文件内容,以防止解析...
成长经历:浅谈OSINT认知
m0_55992382的博客
04-27 2567
浅谈OSINT认知 前言 ​ OSINT这个词是在和一群大佬们的聊天过程中得知的,当时觉得这个陌生的名词好酷,或许对将来从事"hacker"一职有帮助,于是便去收集有关于OSINT的资料予学习。 ​ 这篇文章也是我第一次写blog,有问题请大家还多多包容。 何为开源网络情报? ​ OSINT全称Open source intelligence,中文名开源网络情报,是作为美国中央情报局(CIA)的一种情报收集手段,从各种公开的信息资源中寻找和收获有价值的情报。 ​ 对于网上的定义如下 面向适当用户,以其特定
XXE攻击指南
zz_strive_2012的专栏
07-30 468
现在许多不同的客户端技术,如web端,移动端,云端等使用XML向业务应用程序发送消息。为了使应用程序使用这些自定义的XML消息,应用程序必须去解析XML文档并检查格式是否正确。 本文将描述XML外部实体(XXE)注入攻击及其基础知识,以便更好地了解如何攻击以及如何处理。 既然我们将谈论XXE注入,那么首先我们应该了解外部实体的含义以及实现的内容。 外部实体是指XML处理器必须解析的数据。它对于在多个文档之间创建共享的公共引用很有用。对外部实体进行的任何更改将在包含对其的引用的文档中自动更新。即XML使
XXE攻击与防御
qq_56327824的博客
03-26 7430
XXE XXE是一种很常见的漏洞类型危害也挺大的,如果一个web服务器通过用户上传处理XML文件或POST请求时,那么可能就会存在漏洞。 前段时间比较出名的微信支付的xxe漏洞 漏洞简历 XXE就是XML外部实体注入,当服务器允许引用外部实体时,同过构建恶意内容来攻击网站 产生原因 解析xml文件时允许加载外部实体,并且实体的URL支持file://和PHP://等协议,没有过滤用户提交的参数 危害 读取任意文件 执行系统命令 探测内网端口 攻击内网网站 DOS攻击 … 漏洞检测 利用burp检测那些接
XXE攻击指什么?其攻击原理是什么?
oldboyedu1的博客
02-13 926
也就是说服务端接收和解析了来自用户端的XML数据,而又没有做严格的安全控制,从而导致XML外部实体注入,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。XXE漏洞触发的点往往是可以上传XML文件的位置,没有对上传的XML文件进行过滤,导致可上传恶意XML文件。XXE攻击是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。XXE攻击原理是什么?
从原理到实战,详解XXE攻击,从零基础到精通,收藏这篇就够了!
mmquangefafafa的博客
02-22 928
常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。当xml解析器支持对于外部实体的解析且待解析的xml文件可由外部控制时,就会发生此攻击。常见的支持xinclude特性的xml解析器都是默认关闭xinclude特性的,如果使用,需要在代码中手动开启,如在DOM型解析器中开启如下配置。执行结果:如果程序中不对解析实体做限制的话,可以通过少量的DTD定义,实现海量大小的解析结果的效果,会大量占用服务器的处理、存储。
从原理到实战,详解XXE攻击
华为云官方博客
10-13 799
一站式提供xml外部实体注入攻击的相关基础概念、原理分析、实战演练、安全编码防御以及自动化防御工具。
2024版最新148款CTF工具整理大全(附下载安装包)含基础环境、Web 安全、加密解密、密码爆破、文件、隐写、逆向、PWN等全套工具
热门推荐
Libra1313的博客
10-23 1万+
经常会有大学生粉丝朋友私信大白,想通过打CTF比赛镀金,作为进入一线互联网大厂的门票。但是在CTF做题很多的时候都会用到工具,所以在全网苦寻CTF比赛工具安装包!
3种XXE不同攻击方式,从零基础到精通,收藏这篇就够了!
Libra1313的博客
02-19 1122
XML外部实体(XXE)注入是一个严重的缺陷,允许攻击者读取服务器上的本地文件,访问内部网络,扫描内部端口或在远程服务器上执行命令。它针对解析XML的应用程序。当包含对外部实体的引用的XML输入由弱配置的XML解析器处理时,会发生此攻击攻击者通过在XML数据中嵌入恶意内联DOCTYPE定义来利用它。当Web服务器处理恶意XML输入时,实体将被扩展,这可能会导致攻击者访问Web服务器的文件系统,远程文件系统访问或通过HTTP/HTTPS建立与任意主机的连接。
WEB漏洞——XXE
qq_63594215的博客
04-12 1546
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
PHP的XXE攻击
03-08
### PHP XXE 攻击原理 PHP应用程序处理XML输入时,如果允许解析外部实体,则可能存在XXE(XML External Entity Injection)漏洞。当恶意用户能够控制部分或全部的XML输入并引入特定的DTD声明时,可以触发服务器端执行任意命令或者泄露敏感数据。 具体来说,在构建XML文档的过程中,通过`<!ENTITY>`定义内部或外部实体来引用其他资源。对于外部实体而言,它可以指向本地文件系统上的任何位置甚至是远程URL。一旦这些被嵌入到最终生成的有效载荷中,并由易受攻击的应用程序解释,就可能造成严重的后果[^1]。 例如下面这段代码展示了如何创建一个带有外部实体引用的简单XML字符串: ```xml <?xml version="1.0"?> <!DOCTYPE root [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root>&xxe;</root> ``` 此示例尝试读取Linux系统的密码文件 `/etc/passwd` 并将其作为响应的一部分返回给客户端。 ### 防护措施 为了防止上述类型的攻击发生,在开发基于PHP的应用时应该采取以下几种策略之一来进行保护: #### 禁用外部实体加载器 最直接有效的方法是在初始化libxml库之前调用 `libxml_disable_entity_loader(true)` 函数关闭对外部实体的支持。这会阻止所有形式的外部实体扩展,从而消除大部分潜在风险: ```php // 关闭外部实体支持 libxml_disable_entity_loader(true); $xml = simplexml_load_string($user_input_xml); ``` #### 使用安全模式解析XML 另一种方法是采用更严格的验证机制,比如只接受来自可信源的数据;确保所有的输入都被充分清理过;以及尽可能早地拒绝可疑请求而不去试图进一步分析它们的内容。此外还可以考虑启用某些框架自带的安全特性如 Symfony 的 XmlEncoder 或者 Laravel 提供的相关组件等。 #### 输入过滤与输出编码 始终遵循最小权限原则,即仅授予必要的访问权限。对不可信来源传来的参数做严格校验,去除非法字符序列后再交给后续逻辑层处理。同时注意转义特殊符号以避免意外情况的发生。 #### 更新依赖项和补丁管理 定期审查项目所使用的第三方库及其版本号,及时安装官方发布的修复更新包。许多已知的安全隐患往往会在较新的发行版里得到妥善解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值