WebGoat (A4) XML External Entities (XXE)

最新推荐文章于 2025-05-06 12:11:30 发布

原创

最新推荐文章于 2025-05-06 12:11:30 发布 · 2.7k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#网络安全 #xml #靶机

本文详细介绍了使用XXE注入技术解决不同场景问题的方法，包括直接读取系统文件、盲注获取文件内容等技巧，并提供了两种不同的实现途径：利用webwolf和简易HTTP服务器。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

一、愉快的通关

第4页

这题要求用XXE注入罗列系统根目录。

首先在上图的输入框输入个评论，比如cute，按submit提交。

到burpsuite的proxy模块找到相关request报文，鼠标右键--send to repeater

从上图可见，<text></text>标签之前的内容是会显示在评论区的，因此如果在此处引用外部实体，外部实体的内容也是可以显示在评论区的。

在request报文中的xml代码中增加DTD，并在其中定义外部实体root，其内容是"file:///"，然后记得引用外部实体（&root;）

完整payload：

<?xml version="1.0"?>
<!DOCTYPE cat [
  <!ENTITY root SYSTEM "file:///">
]>
<comment>  <text>&root;</text></comment>

send request报文之后即可通关

返回浏览器刷新一下网页，可以看到新增了一条评论，其中包含根目录（windows系统的C盘）下的所有文件和目录

或者burpsuite的proxy模块中的下图这个response报文中也可以看到

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

仙女象

关注关注

4
点赞
踩
11

收藏

觉得还不错? 一键收藏
1
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

Java代码审计——WebGoat XML外部实体注入(XXE)

m0_61506558的博客

11-16

904

在进行代码分析之前，要先懂漏洞产生的原理，不妨看看这篇文章，WebGoat上面描述的也不错，值得研读。

XXE-XML外部实体注入漏洞详解

m0_69043895的博客

04-14

1547

XML指可扩展标记语言(Extensible Markup Language)。XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。它在 HTML 之后开发，来弥补 HTML的不足。HTML 用于定义数据的展示，专注于它应该是什么样子。反之，XML 用于定义数据如何被组织。例如，HTML中，你的标签为<title>、<h1>、<tab1e>，<p>以及其它标签。

1 条评论您还未登录，请先登录后发表或查看评论

OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

weixin_43125873的博客

08-14

460

OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE) 文章目录OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)前言一、XXE是什么？二、什么情况会造成XXE三、如何预防总结前言提示：这里可以添加本文要记录的大概内容：例如：随着人工智能的不断发展，机器学习这门技术也越来越重要，很多人都开启了学习机器学习，本文就介绍了机器学习的基础内容。提示：以下是本篇文章正文内容，下面案例可供参考一、XXE是什么？ XML External Entities

XML外部实体注入（XXE）

最新发布

m0_66872110的博客

05-06

805

XML外部实体注入（XXE）漏洞常年位列OWASP Top 10，其隐蔽性和高危害性使其成为渗透测试中的“杀手锏”。攻击者通过构造恶意XML数据，可窃取服务器敏感文件、探测内网服务，甚至远程执行命令。本文将从原理、攻击手法到防御方案，结合实战案例与工具，全面剖析XXE漏洞，并揭示其与现代架构的潜在关联。

webgoat- XML External Entity-XXE-XML实体注入

seanyang_的博客

11-01

1249

XML 外部实体攻击是针对解析 XML 输入的应用程序的一种攻击。当包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理时，就会发生此攻击。这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描以及其他系统影响。攻击可能包括使用 file: 方案或系统标识符中的相对路径来泄露本地文件，其中可能包含密码或私人用户数据等敏感数据。

XML外部实体注入(XXE)

常备不懈

05-30

854

XML外部实体注入（XML eXternal Entity Injection，XXE）是一种针对解析XML输入的应用程序的攻击。当应用程序处理包含不受信任的外部实体引用的XML输入，并使用配置不当的XML解析器时，就可能发生这种攻击。此类攻击可能导致机密数据泄露、拒绝服务攻击（DoS）、服务器端请求伪造（SSRF）以及从解析器所在服务器进行端口扫描等一系列系统安全问题。

XML External Entities 攻击（XML外部实体注入）

weixin_45352161的博客

05-17

3709

使用配置的 XML 解析器无法预防和限制外部实体进行解析，这会使解析器暴露在 XML External Entities 攻击之下说明： XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置，否则外部实体会迫使 XML 解析器访问由 URI 指定的资源，例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM

xml外部实体攻击

07-17

xml外部实体使用，漏洞产生原因，详细举例攻击原理，修复方法等

XXE: XML eXternal Entity Injection vulnerabilities

weixin_30791095的博客

01-06

333

From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect the vulnerability and moving on to how to fix it...

网络安全-XXE(XML External Entity)漏洞

qq_26792141的博客

10-04

1609

1、原理执行XML文件外部实体包含的恶意链接信息，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 xml文件是一种信息传输和存储的文本，HTML 是用来展示数据的。 XML有自己的语法结构，其中实体就是其中一个特性，实体是一个预先定义的数据或数据集合。有了实体类似一个变量可以定义关联其他数据之后，方便直接引用实体分为三类：普通实体与参数实体、内部实体与外部实体、已解析实体与未解析实体。根据实体内容和DTD包含关系分为内部实体和外部实体内部实...

【每天学习一点新知识】XXE（XML外部实体注入）从入门到放弃

RexHa的博客

10-29

2281

XML 指可扩展标记语言（EXtensibleMarkupLanguage）XML 是一种标记语言，很类似 HTMLXML 的设计宗旨是传输数据，而非显示数据XML 标签没有被预定义。您需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML——XML介绍和基本语法_KLeonard的博客-优快云博客_xml本文介绍了XML语言的历史，以及它的作用和常见的应用。重点介绍了XML文件的语法规则。

Webgoat --XEE

hee_mee的博客

06-15

557

ZeroNIl

WebGoat教程解析

05-09

WebGoat里面关于会话劫持（Hijack a Session）这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程，实际上这个课程完全可以只使用WebScarab来完成。

XML外部实体注入（XXE）的原理和应用

iczfy585的博客

08-27

6338

文章目录XXE注入一、XML简介二、XML实体三、CTF中XEE攻击 XXE注入 XXE注入全称是xml external entity 注入，也就是xml外部实体注入。XXE漏洞发生在应用程序解析输入的XML时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取，命令执行等攻击。一、XML简介 XML是一种用户自定义的标记语言，主要用于数据的存储和传输。XML文档有自己的一个格式规范。是由DTD（document type define)来控制的。例如： <?xml version=

WebGoat8 M17 XXE 全思路、题解与答案

伊维泽诺流浪记

02-27

2417

目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language)，可扩展标记语言，是一种用于标记电子文件，使其具有结构性的标记语言，可以用来标记数据，定义数据类型。与HTML不同：HTML被设计...

WebGoat 8.0 XXE注入解题思路

Abracadabra的专栏

09-20

4468

WebGoat 8.0 XXE注入解题思路 ★ 题目地址： http://127.0.0.1:8080/WebGoat/start.mvc#lesson/XXE.lesson/2 ★ XXE 注入攻击是什么 XXE 是 XML External Entity的缩写。 XXE注入攻击，发生在一些配置较弱的XML解析器中。XXE攻击可以导致隐私数据泄露、拒绝服务、服务端请求伪造、端口扫描等问题。...

第二讲外部实体注入

manok的专栏

12-19

1921

源代码审计，最近比较火爆，我们是创新的源代码审计课程。

WebGoat靶场搭建及通关记录(一)

m0re's blog

08-26

7735

文章目录前言一、搭建靶场二、通关攻略1.GeneralHTTP BasicsHTTP Proxies2.Injection FlawsSQL Injection (advanced) 前言搭建WebGoat靶场，没事打一打。一、搭建靶场靶场环境，只介绍在windows系统中搭建过程。先下载这两个文件 https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0.jar https://githu

WebGoat 靶场 JWT tokens 四五七关通关教程

qq_45953122的博客

10-08

1289

JWT的三个部分：头部（Header）、载荷（Payload）和签名（Signature）也就是Cookie字段的access_token的值。重点在 payload 声明中的 exp 和 username，exp 是 token 过期的时间戳，时间戳需要修改到当前时间之后，也就让它不过期。它是 WebGoat 服务器 JAR 文件，这是一个故意不安全的 Web 应用程序，用于安全培训和测试。粘贴到bp中（注：不需要复制其jwt的第三部分，但要跟上连接第三部分的。

WebGoat8实验：XXE注入漏洞详解与利用

"WebGoat8是一个用于教育和练习安全漏洞的在线平台，特别是关于XXE（XML External Entity）注入的教程。XXE漏洞允许攻击者通过利用不安全的XML解析器来读取服务器上的文件、执行DoS攻击或者进行盲XXE攻击。本文档...