XML和XXE基础

XML和XXE基础

1.0 XML和XXE简介

简介:XML(eXtensible Markup Language)是一种可扩展标记语言,它是由万维网联盟

(W3C)制定的标准格式,主要用于数据存储、传输以及文档结构的描述。XML的设计目的

是为了提供一种灵活且结构化的数据交换手段,使得数据能够在不同的系统和应用程序之间

方便地共享。

和HTML区别:XML被设计为传输和存储数据,其焦点是数据的内容

XML External Entity (XXE) 是一种针对XML处理程序的安全漏洞,这种漏洞出现在应用程序

解析XML输入的过程中,当程序未能禁用或者适当地管理XML外部实体引用时,攻击者能够

通过构造恶意的

XML文档,注入外部实体声明并触发服务器解析该实体,从而达到以下目的:

文件读取:攻击者可以定义一个外部实体,指向服务器本地或网络可达的任意文件,借此读

取敏感文件内容,如配置文件、日志文件甚至密码文件等。

服务器端请求伪造 (SSRF):如果外部实体允许发起网络请求,攻击者可能利用此功能对内部

网络发起探测或攻击。

拒绝服务 (DoS):通过构造消耗大量资源的实体,可能导致服务器负载过高或崩溃。

盲XXE:即使服务器不返回实体解析的结果,攻击者也可以利用Blind XXE技巧泄露信

息,例如通过发送精心设计的请求观察服务器响应时间的变化,以此推测内部文件是否存

在。

最常见的利用就是利用其进行文件读取

通过XML传递的数据在数据包的header中可以找到相关信息

一般对xml的利用:

客户端:xml发送数据

服务端:xml解析数据

我们可以利用xml写一个带有文件读取的代码尝试发送,类似文件读取功能的实现

这里分享一个很好的博客,有关xml和xxe 这个 把xxe的一些实现和基础都讲的很清楚

1.1 XXE实现文件读取

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>

用file协议读取passwd

如果遇见了无回显的情况,可以进行带外测试,利用dnslog平台,从而判断究竟是不存在回

显,还是我们的代码写的有问题,或者说是请求了不存在的文件,如果经过测试确实是

不回显,这时候就得使用下面的技术

1.2 外部引用实体DTD

由于参数实体无法在内部子集中进行调用,我们想要把数据返回道我们自己的服务器就需要

外部引用实体dtd,具体的见我们上面推荐的博客,那个博客讲的很清楚,我就不多加赘述了

1.3 黑盒中的xxe

我们通过数据包判断出传输的是xml数据,就可以尝试去发送xml恶意代码去试试

xxe不仅在数据传输中出现,在文件上传引用插件解析或者预览也会造成文件中的xxe

payload执行

1.4 白盒中的xxe

xxe的搜索方向

1 通过应用功能追踪代码审计

2 通过特定函数搜索定位审计

由于xxe可能用到的地方很多,所以我们主要从特定函数去测试

直接在代码中搜处理xml的解析函数,然后对函数进行分析

© 版权声明

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...