xxe漏洞学习

一、什么是xxe漏洞

XXE 就是XML外部实体注入 ,当允许引用外部实体 时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。

由此为引例,了解一下XML语言

XML是可扩展的标记语言(eXtensible Markup Language),设计用来进行数据的传输和存储, 结构是树形结构,有标签构成,这点很像HTML语言。

但是XML和HTML有明显区别如下:

XML 被设计用来传输和存储数据。

HTML 被设计用来显示数据。

先来看一段简单的XML代码

XML 复制代码
<?xml version='1.0'?>					//声明XML解析器版本来解析
<person>								//根元素,不一定是person
<name>test</name>						//子元素,意思就是name变量的值是test
<age>20</age>                           //同理
</person>

简单来说XML的语法中,标签就是变量名,标签里面的数据就是变量的值

而实体又分为三种,一般实体(通用实体),参数实体,预定义实体 (XXE不用,我也没了解)

1、一般实体

XML 复制代码
<?xml version='1.0'?>	   // 声明XML解析器版本来解析 
 
// 运用实体定义变量的写法 
// 即声明一个name变量,值为john
<!DOCTYPE person[         
<!ENTITY name "john">      
]>				
 
// 引用一般实体的写法,格式为"&实体名称;"
<person>			      
<name>&name;</name>		   		
<age>20</age>
</person>

2、参数实体

参数实体的声明:<!ENTITY % 实体名称 "实体内容">

引用参数实体的方法:%实体名称;

来看看下面一段使用了参数实体的代码,其实跟一般实体差不多只是%的区别

XML 复制代码
=

<?xml version='1.0'?>       // 声明XML解析器版本来解析 
 
// 运用参数实体定义变量的写法 
// 即声明一个outer变量,值为John
<!DOCTYPE person[         
<!ENTITY % outer "John">        
%outer;                     //参数实体定义的变量必须先在dtd文件中引用
]>             
 
 
// 引用参数实体的写法,格式为"%实体名称;"
<person>                  
<name>%name;</name>                   
<age>20</age>
</person>

它必须定义在单独的DTD区域,这种实体相对灵活,这种功能在漏洞利用场景的外部实体注入(XXE)过程中非常有用

然后再区分一下内部实体和外部实体

内部实体

XML 复制代码
<?xml version="1.0"?>
<!DOCTYPE note[
<!ELEMENT note (name)>
<!ENTITY hack3r "hu3sky">
]>
<note>
<name>&hack3r;</name>
</note>

外部实体

XML 复制代码
<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY  name SYSTEM "http://xx.com/aa.dtd">
]>
<a>
<name>&name;</name>
</a>

内部实体就相当于自己编写DTD内容,而外部实体就相当于引入外部的DTD内容 ,类似于写JS代码时从外部引入JS文件 ,上面的一般实体和参数实体都可以化为外部实体

二、实战检验

这一部分放到暑假再练习吧,主要是有点抽象,需要时间去理解

相关推荐
LH_R20 小时前
OneTerm开源堡垒机实战(三):功能扩展与效率提升
运维·后端·安全
你的人类朋友1 天前
什么是API签名?
前端·后端·安全
深盾安全2 天前
ProGuard混淆在Android程序中的应用
安全
CYRUS_STUDIO2 天前
利用 Linux 信号机制(SIGTRAP)实现 Android 下的反调试
android·安全·逆向
白帽黑客沐瑶2 天前
【网络安全就业】信息安全专业的就业前景(非常详细)零基础入门到精通,收藏这篇就够了
网络·安全·web安全·计算机·程序员·编程·网络安全就业
深盾安全2 天前
符号执行技术实践-求解程序密码
安全
2303_Alpha2 天前
SpringBoot
笔记·学习
萘柰奈2 天前
Unity学习----【进阶】TextMeshPro学习(三)--进阶知识点(TMP基础设置,材质球相关,两个辅助工具类)
学习·unity
贾维思基2 天前
被监管警告后,我连夜给系统上了“双保险”!
安全
沐矢羽2 天前
Tomcat PUT方法任意写文件漏洞学习
学习·tomcat