XXE漏洞利用技巧(XML注入):从XML到远程代码执行

已于 2022-08-26 10:01:09 修改
阅读量5k 收藏 9
点赞数 1
分类专栏: 渗透常识研究 文章标签: 运维 安全
于 2020-10-12 23:04:25 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u012206617/article/details/109038388
版权
本文详细介绍了XXE漏洞,包括其概念、基本利用方式、多种攻击场景,如端口扫描、文件窃取、远程代码执行等。文章还探讨了如何通过Blind OOB XXE进行数据传输,并提供了真实世界中的XXE实例,如微信支付漏洞。最后,文章提出了缓解和防御XXE的策略,建议禁用XML外部实体以防止此类攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目录

什么是XXE

基本利用

Blind OOB XXE

场景1 - 端口扫描

场景2 - 通过DTD窃取文件

场景3 - 远程代码执行

场景4 - 钓鱼

场景4 - HTTP 内网主机探测

场景5 - 内网盲注(CTF)

场景6 - 文件上传

缓解措施

真实的 XXE 出现在哪

实例一:模拟情况

实例二:微信支付的 XXE

实例三:JSON content-type XXE

六、XXE 如何防御

方案一:使用语言中推荐的禁用外部实体的方法

方案二:手动黑名单过滤(不推荐)

什么是XXE

简单来说,XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。

例如,如果你当前使用的程序为PHP,则可以将libxml_disable_entity_loader设置为TRUE来禁用外部实体,从而起到防御的目的。

基本利用

通常攻击者会将payload注入XML文件中,一旦文件被执行,将会读取服务器上的本地文件,并对内网发起访问扫描内部网络端口。换而言之,XXE是一种从本地到达各种服务的方法。此外,在一定程度上这也可能帮助攻击者绕过防火墙规则过滤或身份验证检查。

以下是一个简单的XML代码POST请求示例:

POST /vulnerable HTTP/1.1
Host: www.test.com
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:57.0) Gecko/20100101 Firefox/57.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
了解本专栏 订阅专栏 解锁全文
XML 注入
发哥微课堂
06-15 8115
0x00:简介 首先先简单的说一下 xml,看一下它的全名称,叫 Xtensible Markup Language,即可扩展的标记语言,可直接理解为内容可自定义扩展,标签可自定义扩展。其实就是一个文本格式的文件,以 xml 结尾,里面的标签内容可以自定义。它具有很清晰的层次结构,便于阅读,经常被用来做配置文件和存储数据。web 中用 xml 格式来传输数据和处理的功能也有很多。而后端没有对 x...
XXE(XML外部实体注入)漏洞
2ed
08-01 1031
如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它 什么是XXE 简单来说,XXE全称是——XML External Entity,就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内...
windows文件读取 xxe_Web应用常见漏洞浅析:XXE任意文件读写漏洞远程代码执行……...
weixin_39551993的博客
12-22 777
原标题:Web应用常见漏洞浅析:XXE任意文件读写漏洞远程代码执行…… 你的Web应用是否存在XXE漏洞? 如果你的应用是通过用户上传处理XML文件或POST请求(例如将SAML用于单点登录服务甚至是RSS)的,那么你很有可能会受到XXE的攻击。XXE是一种非常常见的漏洞类型,我们几乎每天都会碰到它。在去年的几次web应用渗透中,我们就成功的利用了好几回。什么是XXE“简单来说,XXE就是XML...
XML外部实体注入概述+利用
最新发布
tengyuehou的博客
04-06 730
1. XXE全称为XML External Entity Injection,亦称XEE,当Web应用的脚本代码没有限制XML引入外部实体,导致用户可以插入一个外部实体,且其中的内容会被服务器端执行,就有可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害的出现。2. 其中XML全称为eXtensible Markup Language,可扩展性标记语言。主要用途是可以在不兼容的系统之间交换数据,利用XML,纯文本文件也可以用来存储数据。
WEB系列()-----------SSRF/XXE/命令执行
weixin_41748164的博客
02-19 713
SSRF SSRF(server-site request firery,服务端请求伪造) 是一种构造请求,由服务端发起请求的安全漏洞。与CSRF不同的是发起请求的对象不同。 成因:服务端提供了从其他服务器获取数据的功能,但没有对内网目标地址做过滤与限制。 产生ssrf漏洞的函数 file_get_content() fsockopen() curl_exec() ...
XXE之执行命令 BUU XXE COURSE 1
weixin_73049307的博客
10-03 882
接下来就直接读取flag文件(用SYSTEM "file:///flag")执行命令。其实上一部分的XXE之探测内网端口的例题就用到了执行命令的知识SYSTEM ""发现onclick事件触发XML_Function()函数,说明传输方式是XML。先输入admin 123456,点击“GO!F12查看一下按键“GO!说明存在XXE-XML漏洞
XXE详解
qq_48904485的博客
03-22 5661
一、XML基础知识 1、XML简介: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 XML 和 HTML 为不同的目的而设计: XML 被设计用来传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。 2、XML 语法 1)XML 声明文件的可选部分,如果存在需要放在文
XXE 学习
weixin_47306547的博客
10-13 2785
XXE 是什么 XXE(XML External Entity Injection),即 XML 外部实体注入。 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 ...
xxe-injection-payload-list::bullseye:XML外部实体(XXE注入有效负载列表
02-06
下面将详细阐述XXE漏洞的工作原理、危害、常见利用方式以及防范措施。 **一、工作原理** XML是用于数据交换的标准格式,它支持外部实体引用,可以链接到外部文件或网络资源。当一个应用不加限制地解析包含外部实体...
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
当应用程序不正确地处理这些外部实体时,攻击者可以通过构造恶意XML输入来读取敏感文件、执行远程代码或发起拒绝服务(DoS)攻击。 **一、XXE漏洞原理** XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果...
java xml 实体注入_XML外部实体注入漏洞(XXE)
weixin_35917998的博客
02-16 1241
转自腾讯安全应急响应中心一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。内部声明DTD根元素 [元素声明]>引...
xml执行java源码-Axis-1.4-RCE-Poc:Axis<=1.4远程命令执行(RCE)POC
06-06
xml 执行java源码 Axis <=1.4 远程命令执行(RCE) POC 环境准备 首先下载Axis1.4 本仓库有一个打包好的axis直接解压到tomcat webapps下即可 ,web-inf/web.xml 去掉AdminServlet注释 然后,server-config.wsdd文件开启enableRemoteAdmin (本地环境可以不管) 本人部署在tomcat8上 利用 第一步: 通过services/AdminService 服务 部署一个webservice ,webservice开启一个写文件服务。这里我们要写入的文件名是../webapps/ROOT/shell.jsp,服务模块的工作路径是bin目录,这里利用相对路径写入ROOT目录,也就是tomcat默认根目录。 POST /axis/services/AdminService HTTP/1.1 Host: localhost:8080 Connection: close Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*
xml常用命令
06-07
比较有用的关于xml的命令, xsl:import元素 xsl:import元素用于导入外部的样式单,也是一个顶级元素。被导入的样式单规则总是比导入者的规则低。导入者可以使用xsl:apply-importes来应用导入的样式单。例如: ………
简单了解XML中的处理指令
09-24
主要介绍了XML中的处理指令,处理指令在XML中并不常用,稍作了解即可,需要的朋友可以参考下
XML 注入的介绍与代码防御
煜铭2011
10-07 7121
0x01 介绍 一些 Web 应用程序将 XML 文件用于各种用途,从配置到完整数据库功能。 用户输入通常会传播到这些文件中,进而定制配置或更新应用程序数据库。 如果在使用用户输入之前未清理或验证错误字符,那么这会成为安全隐患。 当未采取任何预防措施时,恶意用户可以变更配置指令,添加新用户(如果用户列表通过 XML 文件进行维护),获取更高的特权等等。 以下证明易
xml实体注入代码Java_XML实体注入漏洞
weixin_32430445的博客
02-27 714
XML实体注入漏洞测试代码1:新建xmlget.php,复制下面代码漏洞测试利用方式1:有回显,直接读取文件LINUX:读取passwd文件,需URL编码后执行。windows:读取文件、也可以读取到内容D盘的文件夹,形式如:file:///d:/URL编码后可执行:http://192.168.106.208/xxe1.php?xml=%3C%3Fxml%20version%3D%221.0%...
Web安全XML注入
热门推荐
brizer的博客
09-06 1万+
XML注入攻击,和SQL注入的原理一样,都是攻击者输入恶意的代码来执行自身权限以外的功能。 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,都将导致XML注入漏洞。攻击者可以修改XML数据格式,增加新的XML节点,对数据处理流程产生影响。攻击下面是一个保存注册用户信息为XML格式的例子:final String GUESTROLE = "guest_role";
java list%3ca%3e排序_Apache Solr 远程命令+XXE执行漏洞(CVE-2017-12629)
weixin_32512187的博客
03-06 4210
Apache Solr 最近有出了个漏洞预警,先复习一下之前的漏洞 #命令执行 ##先创建一个listener,其中设置exe的值为我们想执行的命令,args的值是命令参数POST /solr/demo/config HTTP/1.1Host: your-ipAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (compatible; MSI...
XXE漏洞检测及代码执行过程
weixin_30505751的博客
04-08 594
   这两天看了xxe漏洞,写一下自己的理解,xxe漏洞主要针对webservice危险的引用的外部实体并且未对外部实体进行敏感字符的过滤,从而可以造成命令执行,目录遍历等.首先存在漏洞的web服务一定是存在xml传输数据的,可以在http头的content-type中查看,也可以根据url一些常见的关键字进行判断测试,例如wsdl(web服务描述语言).或者一些常见的采用xml的java服务配置...
XXE漏洞详解:XML语法、攻防策略与实战示例
当一个系统允许用户输入并解析XML文档,如果该文档包含了恶意构造的外部实体引用,攻击者可以利用这个漏洞来获取敏感信息(如服务器配置、数据库内容),甚至执行远程代码,因为某些解析器会尝试加载外部资源作为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨痕诉清风

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值