Xml实体注入漏洞的一些测试和总结

Xml实体注入漏洞的一些总结
1、 xml实体注入原理














]>




&arno; is readed from read.txt
&boot; is readed from file 





&xxx;表示xxx是xml的一个实体,其值为xml内部定义,文件中&arno;和&boot;是实体,并且DTD定义实体内容来自于外部文件和URL网络资源,在解析到时候解析器一般会读取其真实值显示。类似于&,<>等都需要进行转义, 即转义为空格,< 转义为<, >转义为>。


除了俗成约定之外的实体,其他实体需要在xmlDTD申明中指明实体,否则将出现错误,另外xml 规范 DTD可以在xml内部定义,也可以在xml外部引入。




Xml实体 可以指定为外部http文件,也可以指定为内部文件系统,当指定为本地文件的时候,则出现了xml实体注入漏洞。


2、 漏洞的一般利用
上传或者控制一个xml文件,让服务器端去解析该文件,既可以读取服务器端文件内容。




3、 进一步测试:

Php语言大牛已经说过了,simplexml_load_file的xml文件读取组件存在该漏洞,其他语言JAVA(DOM、SAX读取xml文件)、ASP我测试过依然存在该漏洞,但是在测试JAVA的时候,如果引入的外部内容中含有xml特殊字符,则会出现解析错误,不一定能正确读取到服务端文件。



一些相应测试代码:

try{ 
		File f=new File("C:\\xampp\\htdocs\\xml\\text.xml");
		DocumentBuilderFactory factory=DocumentBuilderFactory.newInstance();
		DocumentBuilder builder=factory.newDocumentBuilder();
		Document doc = builder.parse(f);
		NodeList nl = doc.getElementsByTagName("hackers");
		for (int i=0;i < nl.getLength() ;i++){
		System.out.print("value:" + nl.item(i).getFirstChild().getNodeValue());

		} 
		}catch(Exception e){ 
		e.printStackTrace();
		} 

public class SaxXmlReader extends DefaultHandler {
	
	java.util.Stack tags = new java.util.Stack(); 

	public SaxXmlReader() { 
	super(); 
	} 

	public static void main(String args[]) { 
	long lasting = System.currentTimeMillis(); 
	try { 
	SAXParserFactory sf = SAXParserFactory.newInstance(); 
	SAXParser sp = sf.newSAXParser(); 
	SaxXmlReader reader = new SaxXmlReader(); 
	sp.parse(new InputSource("C:\\xampp\\htdocs\\xml\\text.xml"), reader); 
	} catch (Exception e) { 
	e.printStackTrace(); 
	} 
	System.out.println("运行时间:" + (System.currentTimeMillis() - lasting) + " 毫秒"); 
	} 

	public void characters(char ch[], int start, int length) throws SAXException { 
	String tag = (String) tags.peek(); 
	if (tag.equals("hackers")) { 
	System.out.print("Value:" + new String(ch, start, length)); 
	} 

	} 

	public void startElement( 
	String uri, 
	String localName, 
	String qName, 
	Attributes attrs) { 
	tags.push(qName); 
	} 

}


你可能感兴趣的:(xml)