PHP代码审计之XXE(XML外部实体注入)

最新推荐文章于 2025-02-11 15:14:09 发布
最新推荐文章于 2025-02-11 15:14:09 发布
阅读量913 收藏
点赞数
分类专栏: PHP代码审计 文章标签: php xml 安全 web安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_22132931/article/details/128230353
版权
本文详细介绍了XML外部实体注入(XXE)的原理,XML的基础知识,包括XML文档结构、DTD(文档类型定义)以及XXE的分类。重点讲解了有回显和无回显XXE的差异,以及PHP中涉及XXE的相关函数,如simplexml_load_string()和simplexml_load_file()。文中还探讨了如何通过PHP代码审计发现XXE漏洞,并以XXE-Lab靶场为例进行了实战分析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

一、XXE原理

xxe其实也叫XML外部实体化注入,该漏洞是由于某些功能处可以认为引入不安全的外部实体数据,在处理数据时引发的不安全问题。
那为什么会叫做外部实体注入而不叫内部实体注入呢?
其实是由于XXE的危害主要来自于dtd文件中引入的外部实体,例如可以通过一些伪协议:如file、ftp、data、phar等来达到我们想要的效果。

二、XML基础知识

我们在学习挖掘XXE漏洞时,首先得了解一下XML语法知识以及如何构造XML文档,这对于后面XXE漏洞利用是必要的一步。

2.1 XML文档示例

XML文档结果包括XML声明、DTD文档类型定义、文档元素。

2.读入数据

<!--XML声明,它定义 XML 的版本(1.0&#
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Java代码审计XXE漏洞详解
悦分享
01-24 195
除此之外,XML文档中还规定了一系列定义好的“字符引用”,使用特殊的字母组合来表示某些特殊字符,如“
Vulhub-php_xxe
Mccc_li的博客
04-16 912
test
xxe漏洞php代码审计1
m0_55772907的博客
05-01 696
(1)原理 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件 (2)基础知识 XML 被设计为传输和存储数据,其焦点是数据的内容HTML 被设计用来显示数据,其焦点是数据的外观...
php代码审计xxe
qq_42307546的博客
06-04 718
xml
php xxe ***
weixin_33910759的博客
04-26 145
php entites:预定义的:&amp;&lt;&#37;一般实体:<!ENTITY general "hello">,调用方式:在<a>&general;</a>,不能包含在属性中。参数实体:<!ENTITY % param "world">,调用方式,立即使用:%param;一般实体和参数...
php_xxe
qq_52579508的博客
07-17 210
正常的一般提交数据 都是 username = admin password= 123456。看这个xxe 的 漏洞 一般看包里面是否存在 这种标签 或者 存在xml 的格式。这是xxe_lab 里面的php xxe的题目。在下面xml 数据里面要有 相当于是个变量。发送过去返回的格式就是 text/html。ENTITY f 这里的 f。输入 admin 123456 之后。很想html 和xml 的 语法。所以就输出了 123123。
PHP xml实体注入
javaEE_zero的博客
01-05 1227
php xml实体注入php xxe漏洞
网络安全】JAVA代码审计—— XXE外部实体注入
HBohan的博客
01-14 1249
想要了解XXE,在那之前需要了解XML的相关基础
XML外部实体注入XML External Entity,XXE)漏洞详解
最新发布
weixin_42489549的博客
02-11 982
XML外部实体注入XXE)是一种安全漏洞,攻击者通过利用XML解析器对外部实体的处理机制,读取本地文件、探测内网资源、执行远程请求,甚至触发拒绝服务攻击(DoS)。XXE漏洞通常出现在应用程序解析用户提供的XML输入且未禁用外部实体加载时。
[zkaq靶场]XXE(XML外部实体注入)
wwxxee
05-10 740
XXE(XML外部实体注入) XML 描述 XML 被设计用来传输和存储数据,其焦点是数据的内容。 XML标签没有被预定义,XML具有自我描述性。 示例: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> <!ELEMENT from (#PCDATA)> <!E
【渗透测试】XXE外部实体注入):PHP_XXE解题简记
weixin_53972936的博客
10-26 1759
XXE漏洞发生在应用程序解析XML输入时,并没有禁止外部实体的加载,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
php xxe注入,XXE的原理利用方式及修复
weixin_26750831的博客
03-10 1210
注:本文仅供参考学习XXE定义:XXE,"xml external entity injection",即"xml外部实体注入漏洞"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题。XXE原理:服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击...
php xxe注入,PHP XXE漏洞
weixin_33764463的博客
03-10 535
PHP xml 外部实体注入漏洞(XXE)1.环境PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用2.原理介绍XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、存储以及传输信息...
php xxe注入,php xxe 攻击
weixin_42469083的博客
03-10 289
php entites:预定义的:&<%一般实体:,调用方式:在&general;,不能包含在属性中。参数实体:,调用方式,立即使用:%param;一般实体和参数实体都能包含内部资源(DTD) 和外部资源危害:(1)本地文件读取]>&xxe;(2)dos攻击(访问/dev/zero),嵌套解释实体]>&lol9;(3)局域网内资源(4)端口扫描(...
[Vulhub] PHP环境 XML外部实体注入漏洞(XXE
weixin_45605352的博客
05-07 4225
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
m0_63138919的博客
03-14 2749
本文章参考qax的网络安全java代码审计和部分师傅审计思路,记录自己的学习过程,还希望各位博主 师傅 大佬 勿喷,还希望大家指出错误
《JAVA代码审计》(1)JAXB血案之 XML外部实体注入漏洞(XXE)
午夜安全
04-22 5059
(3)@XmlElement:将Java对象的属性映射为xml的节点,在使用@XmlElement时,可通过name属性改变java对象属性在xml中显示的名称。(2)@XmlAccessorType:用于指定由Java对象生成xml文件时对Java对象属性的访问方式。(4)@XmlAttribute:将Java对象的属性映射为xml的属性,并且可通过name属性为生成的xml属性指定别名。(1)@XmlRootElement:用于类级别的注释,对应XML的根节点。
XML实体注入 - 浅谈PHP-XXE
weixin_45720618的博客
01-05 2783
浅谈 PHP_XXE
Web Hacking 101 中文版 十四、XML 外部实体注入(一)
热门推荐
龙哥盟
03-25 3万+
十四、XML 外部实体注入 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 XML 外部实体XXE)漏洞涉及利用应用解析 XML 输入的方式,更具体来说,应用程序处理输入中外部实体的包含方式。为了完全理解理解如何利用,以及他的潜力。我觉得我们最好首先理解什么是 XML外部实体。元语言是用于描述其它语言的语言,这就是 XML。它在 H
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值