XXE漏洞学习

原创 于 2025-02-06 15:29:41 发布 · 1.2k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #web安全 #XXE漏洞 #网络安全靶场

一、漏洞介绍

1、XXE概念

XXE(XML External Entity,XML外部实体)漏洞,是一种因XML解析器不当处理外部实体而引发的安全漏洞。攻击者通过构造恶意XML数据,利用外部实体功能读取服务器本地文件、探测内网服务或发起拒绝服务攻击甚至实现远程代码执行等。

2、漏洞利用原理

(1)外部实体引用

XML允许定义外部实体,这些实体可以从外部资源(如本地文件、远程URL)加载数据。攻击者通过在XML中插入恶意外部实体,利用解析器的功能读取敏感信息。

(2)漏洞触发条件

  • XML解析器默认启用外部实体解析(如旧版PHP的libxml库、Java的SAXParser等)。
  • 用户可控的XML输入未被过滤(如上传XML文件、提交XML格式的API请求)。
  • 解析结果被直接返回或错误信息泄露敏感数据。

3、常见的漏洞利用场景

  1. 文件上传功能
    用户上传XML格式的文件(如SVG图片、配置文件),解析时触发XXE。
  2. API接口
    REST/SOAP API接收XML格式的请求体,未校验外部实体。
  3. 单点登录(SSO)
    SAML协议使用XML进行身份断言,若解析不当可能被利用。

XXE漏洞的本质是XML解析器过度信任用户输入。防御需从禁用外部实体、严格过滤输入、更新依赖库三方面入手。开发人员应始终对XML数据保持警惕,尤其是在处理用户可控内容时。

二、XML简单了解

XML学习参考链接:https://www.w3school.com.cn/xml/index.asp

1、XML简介

XML 指可扩展标记语言(EXtensible Markup Language)

XML 是一种标记语言,很类似 HTML

XML 的设计宗旨是传输数据,而非显示数据

XML 标签没有被预定义。需要自行定义标签。

XML 被设计为具有自我描述性。

XML 是 W3C 的推荐标准

XML 被设计为传输和存储数据,其焦点是数据的内容。

HTML 被设计用来显示数据,其焦点是数据的外观。

2、XML结构

<?xml version="1.0" encoding="ISO-8859-1"?>
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note>

第一行是 XML 声明。它定义 XML 的版本 (1.0) 和所使用的编码

下一行描述文档的根元素

接下来 4 行描述根的 4 个子元素(to, from, heading 以及 body)

最后一行定义根元素的结尾

3、XML外部实体

外部实体是一种特殊的实体,它指向外部资源(如文件、URL 等),允许在 XML 文档中引用外部的文本数据。外部实体的主要作用是实现数据的复用和模块化,使得 XML 文档可以引用外部的文件内容,避免在多个 XML 文档中重复相同的数据。

(1)读取系统文件

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE readFile [
    <!ENTITY ff SYSTEM "file:///etc/passwd">
]>

    <message>&ff;</message>

(2)执行系统命令

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE aa [
    <!ENTITY ff SYSTEM "expect://id">
]>

    <message>&ff;</message>

三、XXE漏洞练习示例

靶场地址:https://portswigger.net/web-security/xxe/lab-exploiting-xxe-to-retrieve-files

Lab: Exploiting XXE using external entities to retrieve files

利用XXE外部实体读取文件

(1)在商品页面Check stock,抓包

(2)发现数据包里有XML文件

(3)修改XML文件内容,访问/etc/passwd目录

<?xml version="1.0" encoding="UTF-8"?>

]>

&ff;3

(4)访问文件成功,实验解决

【1day】宏景OA SmsAcceptGSTXServlet接口 XXE漏洞学习——可读取任意文件
记录并分享学习安全的知识点..
09-16 900
宏景OA是一款基于云计算和SaaS模式的企业级办公自动化软件,它为企业提供了全面的办公自动化解决方案,包括协同办公、流程管理、文档管理、知识管理、人力资源管理、客户关系管理等多个模块。它可以帮助企业提高工作效率、降低成本、提高管理水平和企业形象。宏景OA SmsAcceptGSTXServlet接口存在xxe漏洞,攻击者可以利用它来获取敏感信息、控制应用程序、破坏内部网络安全等,从而对企业造成严重的损失。
浅谈SVG的两个黑魔法-xxe
mingyqf的博客
11-19 504
(DozerCTF2020)这道题当时比赛的时候没有做出来,因为当时水平有限,并没有想到svg也是xml格式,可以用来XXE,这道题确实质量可以,学到了很多新的姿势,下面给出我复现的过程。SVG简介SVG(Scalable Vector Graphics)是一种基于XML的二维矢量图格式,和我们平常用的jpg/png等图片格式所不同的是SVG图像在放大或改变尺寸的情况下其图形质量不会有所损失,并且我们可以使用任何的文本编辑器打开SVG图片并且编辑它,目前主流的浏览器都已经支持SVG图片的渲染。
SVG格式进行xss与xxe
yggcwhat
08-14 2218
SVG格式进行xss与xxe
xxe漏洞学习
L1ni01
11-06 250
xxe漏洞学习 一.XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 DTD元素 DTD属性 以下是 属性类型的选项: 我们XXE 利用的是 它的实体属性 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。 内部声明DTD <!DOCTYPE 根元素 [元素声明]&gt
浅谈SVG的两个黑魔法
蚁景网安学院
11-25 2436
之前在CTF比赛中遇到了一些关于SVG造成的安全问题,多亏诸多师傅的题目给我的一顿痛打让我又了解了不少新的知识和SVGWEB安全中的应用,拓展了我的攻击面。
xxe重点内容
Thegentlest的博客
09-04 1278
xxe重点内容以及实操
XXE漏洞学习之CTF
qq_46085232的博客
04-09 806
两道有关XXE的CTF题目盲猜过程总结Vulnhub练习题过程总结 盲猜 题目地址:http://web.jarvisoj.com:9882/ 过程 访问题目地址 提交数据,进行抓包 看到数据提交这里,以为是基于json格式的sql注入,结果不是的,看页面源代码也看不出啥的,只怪自己的太菜。后来,才知道这里靠xxe漏洞,盲猜服务端能接受xml格式数据,修改Content-tpye值,并提交xml格式的playload。 修改数据包,进行提交,获取flag(这里我通过读取etc/passwd知道有hom
xxe漏洞学习与实战
永不垂头的博客
08-14 388
xxe漏洞学习与实战 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录xxe漏洞学习与实战一、Xxe漏洞学习二、Xxe漏洞实战三、我的公众号 一、Xxe漏洞学习 Xxe是一种针对xml终端的攻击,想要实施这种攻击,需要在xml的payload包含外部实体声明,且服务器本身允许实体扩展。这样就能读取web服务器文件系统,通过unc路径访问远程文件,或者
网络安全】什么是XXE?从0到1完全掌握XXE
qingkahui24689的博客
05-11 1053
个人认为,XXE 可以归结为一句话:构造恶意 DTD介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞。既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXEXML 外部实体注入,全称为 XML external entity injection,某些应用程序允许 XML 格式的数据输入和解析,可以通过引入外部实体的方式进行攻击。xml复制代码
XXE漏洞
huangyongkang666的博客
03-29 2713
XXE漏洞 1.漏洞简介 ​ XXE 漏洞全称XML External Entity Injection,即 XML 外部实体注入漏洞XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意 xml文件。 2.XML简介 ​ XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一
[BSidesCF 2019]SVGMagic (XXE
qq_62046696的博客
12-28 1205
原理:有回显的情况可以直接在页面中看到Payload的执行结果或现象,无回显的情况又称为blind xxe,可以使用外带数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容以http请求发送到接受数据的服务器。最后发包,%remote先调用,vps上的 dtd文件,然后%int调用读取文件,最后send把读取后的发送到远程vps上,样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。普通的xml二者对比,改变不多也就是
利用SVG进行XSS和XXE
热门推荐
weixin_50464560的博客
03-30 1万+
最近我学习了一些新的xss技巧在这里分享给大家! 0x01 JavaScript without parentheses using DOMMatrix 背景 以前我们有两个解决xss不带括号的方法但是都有缺陷: 我们可以使用location=name来加载外部的代码,但是Safari不支持,另外还可以用οnerrοr=alert;throw 1来实现xss,但是现在大多数的waf都会过滤throw 1,因此今天我们就来介绍以下第三种方法。 DOMMatrix 题目的伪代码: 根据上面的要求我们不能使用"’
xxe漏洞学习与利用总结
weixin_30701575的博客
07-29 2440
前言 对于xxe漏洞的认识一直都不是很清楚,而在我为期不长的挖洞生涯中也没有遇到过,所以就想着总结一下,撰写此文以作为记录,加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞,那么一定得先明白基础知识,了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括...
XXE漏洞原理与利用练习
0xcc'Blog
05-30 1423
XXE -"xml external entity injection(外部实体注入)" 如果在XML中允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 一段XML语言: DTD: DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。 <?xml version = "1.0...
XXE漏洞及Blind XXE练习
Shinpachi8的博客
12-04 4504
XXE漏洞及Blind XXE实例。 详细说明。
XXE漏洞练习
cxrpty的博客
02-26 886
实验环境:xml、Apache、Pika出漏洞练习平台 实验原理:该漏洞也被称为XML外部实体注入攻击漏洞,它是指XML代码的DTD声明外部实体时实体内容为一些敏感的本地文件路径或攻击链接或127.0.0.1:端口 实验步骤: 1.XML值如下: <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE name[ <!E...
XXE漏洞笔记
公众号shadow sock7
06-30 3031
参考: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-059911.html http://bobao.360.cn/learning/detail/3841.html http://blog.youkuaiyun.com/u011721501/article/details/43775691 http://thief.one/2017/06/20/1
xxe漏洞靶场pikachu
最新发布
06-19
Pikachu靶场是一个基于PHP的Web安全学习平台,包含多种常见的Web漏洞类型,包括XXE漏洞。要进行XXE漏洞实验,首先需要确保Pikachu靶场已正确安装并运行。可以通过以下步骤完成环境搭建[^3]: 1. 下载Pikachu靶场...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值