XXE漏洞笔记

最新推荐文章于 2025-06-06 14:20:51 发布
原创 最新推荐文章于 2025-06-06 14:20:51 发布 · 3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#漏洞 #XXE

参考:
http://wooyun.jozxing.cc/static/bugs/wooyun-2014-059911.html
http://bobao.360.cn/learning/detail/3841.html
http://blog.youkuaiyun.com/u011721501/article/details/43775691
http://thief.one/2017/06/20/1/
这种漏洞平常关注的太少,印象中它是以X开头的,大概是跟XML有些关系。

参考:http://thief.one/2017/06/20/1/

XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。

然而XXE的利用也是取决于解释器的。
参考:
http://blog.youkuaiyun.com/u011721501/article/details/43775691
对于同一份代码

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % param1 "<!ENTITY internal 'http://www.baidu.com'>">
%param1;
]>
<root>
[This is my site] &internal;
</root>

Safari

这里写图片描述

Firefox

这里写图片描述

Chrome

这里写图片描述

而有些写法这三个浏览器都会报错。

xxe漏洞修复与防御

过滤用户提交的XML数据

过滤关键词:<!DOCTYPE<!ENTITY,或者SYSTEMPUBLIC

//TODO

【nday】复现泛微OA e-cology XXE 漏洞——可读取任意文件
记录并分享学习安全的知识点..
07-14 3364
泛微e-cology是一款由泛微网络科技开发的协同管理平台,支持人力资源、财务、行政等多功能管理和移动办公。泛微e-cology某处功能点最初针对用户输入的过滤不太完善,导致在处理用户输入时可触发XXE。后续修复规则依旧可被绕过,本次漏洞即为之前修复规则的绕过。攻击者可利用该漏洞列目录、读取文件,甚至可能获取应用系统的管理员权限。
web安全-8-SSRF与XXE漏洞
qq_57410330的博客
04-08 1900
关于SSRF与XXE漏洞详情,这一章节是web安全的最后一截,接下来讲蓝队与红队之间的事
XXE漏洞
weixin_44940180的博客
08-14 1073
XXE(xml external entity injection) 一、xxe漏洞 xml外部实体注入漏洞,发生在应用程序解析xml输入时,没有禁止外部实体的加载、导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。是XML注入的一种,普通的XML注入利用面比较狭窄,如果有的话也是逻辑类漏洞XXE扩大了攻击面。 xxe是一种针对xml终端的实施攻击,想要实施这种攻击需要在xml的payload的包含外部实体声明,且服务器本身允许实体扩展,这样就能读取web
XXE笔记
m0_47599604的博客
03-28 192
目录 XML及DTD介绍 简介 DTD PCDATA CDATA 实体 内部实体声明 XXE漏洞介绍 挖掘技巧及修复 挖掘方式 漏洞利用 漏洞修复 XML及DTD介绍 简介 XML指可扩展标记语言(EXtensible Markup Lanuage),设计用来进行数据的传输和存储。 XML是一种标记语言,很类似HTML XML的设计宗旨是传输数据,而非显示数据 XML标签没有被定义。需要自行定义标签 XML被设计为具有自我描述性 XML是W3C的推荐标准
Web漏洞|XXE漏洞详解(XML外部实体注入),从零基础到精通,收藏这篇就够了!
最新发布
QIANDXX的博客
06-06 1032
==目录XXEXXE漏洞演示利用(任意文件读取)XXE漏洞的挖掘XXE的防御在学习XXE漏洞之前,我们先了解下XML。传送门——> XML和JSON数据格式那么什么是XXE漏洞呢?01XXE
XXE学习笔记
qq_52560434的博客
08-09 359
文章目录前言一、XXE概念二、基础知识1.XML2.DTD介绍三、XXE漏洞原理及相关题目1、原理2、题目总结 前言 这里主要记录一下这几天学习xxe的内容,以及自己的一些心得体会 以下是本篇文章正文内容 一、XXE概念 XXE全称是XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。 二、基础知识 1.XML 1、特征 ✦ XML是可扩展标记语言(EXtensible Markup Language),是一种很..
学习笔记-XXE
人饭子的博客
11-02 225
XXE 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 描述 XXE 就是 XML 外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。文档类型定义 (DTD) 的作用是定义 X...
XXE漏洞详解
Jeromeyoung
01-28 6889
文章目录XXE漏洞1、造成XXE的原因2、定义3、利用漏洞条件4、XXE使用5、XXE挖掘及扩展1、抓包看accept头是否接受xml2、抓包修改数据类型,把json改成xml来传输数据5、DTD基础知识构建xxe的payload达成攻击使用DTD实体的攻击方式DTD 实体声明:1. 内部实体声明2. 外部实体声明3. 参数实体声明4. 引用公共实体6、实体类别介绍总结7、XXE攻击类别及实例有回显无回显整个调用过程: XXE漏洞 利用数据格式造成攻击 1、造成XXE的原因 运维人员使用了低版本php,l
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1837
xxe漏洞复现
pikachu平台XXE漏洞通关教程详解
m0_74786138的博客
11-25 619
既"xml外部实体注入漏洞概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。具体的关于xml实体的介绍,网络上有很多,自己动手先查一下。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 9712
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
XXE漏洞利用详情和修复
汤圆的博客
02-12 858
简介 xxe也就是xml外部实体注入,简单理解就是当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 实验环境 PHP版本:5.5.45 中间件:apache 复现平台:漏洞练习平台 利用详情 复制burp生成的地址 ,然后在x...
JavaMelody组件XXE漏洞解析
u010046887的专栏
11-28 1648
转载:https://www.codercto.com/a/27038.html 0x00 概述 JavaMelody 是一个用来对 Java 应用进行监控的组件。通过该组件,用户可以对内存、 CPU 、用户 session 甚至 SQL 请求等进行监控,并且该组件提供了一个可视化界面给用户使用。 最近,该组件被爆出一个 XXE 漏洞—— CVE-2018-15531 ,由于该组件的启动特性...
JavaMelody组件XXE漏洞(CVE-2018-15531)漏洞分析报告
dbhri9673的博客
07-28 1065
0x001 背景 JavaMelody是一款运行在Java Web容器中,用来监控Java内存和服务器CPU使用情况的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。 该组件低版本存在一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。 0x002 实验环境 首先需要安装JavaMe...
java内存漏洞_JavaMelody组件XXE漏洞(CVE-2018-15531)漏洞分析报告
weixin_29793473的博客
02-25 902
0x001 背景JavaMelody是一款运行在Java Web容器中,用来监控Java内存和服务器CPU使用情况的工具,可以通过图表给出监控数据,方便研发运维等找出响应瓶颈、优化响应等。该组件低版本存在一个XXE漏洞——CVE-2018-15531,由于该组件的启动特性,攻击者无需特定的权限即可发起攻击。0x002 实验环境首先需要安装JavaMelody组件,这里我们选择使用的JavaMelo...
【2025版】最新防范XXE漏洞XXE攻击详解与应对策略,从零基础到精通,收藏这篇就够了!
jennycisp的博客
02-26 705
XML(可扩展标记语言)是一种用于标记电子文件的结构化语言,它能够对数据进行标记并定义数据类型。XML允许用户自定义标记语言,因此在数据交换和存储中被广泛使用。在当今网络安全形势日益严峻的环境中,XXE(XML External Entity)漏洞作为一种常见的XML解析安全问题,得到了越来越多的关注。首先,XXE漏洞利用了XML解析器在处理外部实体时的安全缺陷,攻击者可以通过精心构造的XML文档,读取系统内部敏感文件、执行任意命令,甚至进行内部网络探测。
WebGoat靶场xxe题目练习笔记
03-18
### 关于 WebGoat 中 XXE 漏洞题目的解题思路与练习笔记 #### 什么是 XXE 漏洞? XML 外部实体 (XXE) 漏洞允许攻击者通过恶意构建的 XML 文档利用应用程序解析器的功能,读取本地文件、执行远程代码或发起拒绝服务攻击。这种漏洞通常发生在服务器端未正确配置 XML 解析器的情况下[^1]。 --- #### WebGoat 平台简介 WebGoat 是由 OWASP 提供的一款 Java 应用程序靶场工具,旨在帮助开发者和安全研究人员了解并实践各种 Web 安全漏洞及其防护方法。它涵盖了多种常见漏洞类型,包括但不限于 XSS、SQL 注入以及 XXE 等[^2]。 --- #### WebGoat 中 XXE 题目概述 在 WebGoat 的 XXE 训练模块中,用户可以通过一系列挑战来熟悉如何发现和利用此类漏洞。以下是针对该部分的一些通用解题思路: 1. **理解目标环境** - 分析给定的应用逻辑,确认是否存在对用户提交数据(如上传文件或表单输入)中的 XML 数据进行处理的行为。 - 如果存在,则进一步验证其使用的 XML 解析库是否启用了外部实体加载功能。 2. **构造恶意 payload** 使用标准 DTD(文档类型定义),尝试引入外部资源路径作为测试载体。例如: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo> ``` 上述代码片段试图从 Linux 文件系统中提取 `/etc/passwd` 文件的内容,并将其嵌套到响应消息体里返回给客户端。 3. **观察反馈结果** 将上述请求发送至目标接口后,仔细查看服务器回传的数据包内容是否有预期敏感信息泄露现象发生;如果没有成功获取所需资料,则需调整策略重新尝试其他可能存在的薄弱环节直至达成最终目的为止。 4. **实施防御措施建议** 当完成所有指定任务之后,还需要掌握有效的缓解办法以防止实际生产环境中再次遭遇类似威胁情况的发生。具体做法如下所示: - 禁止不必要的特性支持——关闭 DOMParser 或 SAXParser 对外网链接地址的支持选项; - 设置严格的白名单机制过滤掉非法字符集编码形式; - 更新第三方依赖版本号保持最新状态从而减少潜在风险暴露面。 --- #### 示例代码展示 下面是一段简单的 Python 脚本用于自动化生成基本类型的 XXE 测试向量: ```python import xml.etree.ElementTree as ET def create_xxe_payload(entity_name, system_id): dtd = f'''<!DOCTYPE root [ <!ENTITY {entity_name} SYSTEM "{system_id}"> ]>''' root = ET.Element('root') tree = ET.ElementTree(root) # Add entity reference inside the element text. root.text = f'&{entity_name};' return '\n'.join([dtd, ET.tostring(root).decode()]) if __name__ == "__main__": print(create_xxe_payload("secret", "file:///C:/Windows/win.ini")) ``` 此函数接受两个参数分别代表自定义标签名称及要访问的目标位置字符串值,最后输出完整的符合要求格式化的 XML 结构化文本串以便后续操作调用。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值