XXE(xml外部实体注入漏洞)
xml实体分为4种,分别是内部实体、参数实体、预定义实体和外部实体
内部实体:
在 DTD 或内部子集(即文档中 语句的一部分)中声明,在文档中用作引用。在 XML 文档解析过程中,实体引用将由它的表示替代。
预定义实体:
实体 | 描述 |
---|---|
" | 双引号 |
' | 单引号 |
< | 小于,即< |
> | 大于,即> |
& | & |
DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明,也可以外部引用。
内部声明DTD
引用外部DTD
或者
DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。内部声明实体
参数实体
参数实体只用于 DTD 和文档的内部子集中,XML的规范定义中,只有在DTD中才能引用参数实体. 参数实体的声明和引用都是以百分号%。并且参数实体的引用在DTD是理解解析的,替换文本将变成DTD的一部分。该类型的实体用“%”字符(或十六进制编码的%)声明,并且仅在经过解析和验证后才用于替换DTD中的文本或其他内容:
引用外部实体
其中SYSTEM关键字就是外部实体的标记、外部实体接受本地文件、http、file等协议形式的内容
libxml2 | php | java | .net |
---|---|---|---|
file http ftp |
file http ftp php compress.zlib compress.bzip2 datag1obphar |
http https ftp file jar netdoc mailto gopher * |
file http https ftp |
xxe攻击方式有基于回显、基于报错和blind xxe
危害:当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
xml version="1.0"encoding="utf-8"?>
]>
&abc;
]>
&lol9;
xmL version="1.0"?>
&xxe;