xxe漏洞简介

最新推荐文章于 2026-03-30 21:24:04 发布
原创 最新推荐文章于 2026-03-30 21:24:04 发布 · 4.3k 阅读 · 3
本文详细介绍了XXE漏洞的原因、原理、常见payload以及防御措施。在新版本中,simplexml_load_file函数需要指定解析实体参数以避免XXE。XXE攻击可以通过读取文件、DoS或CSRF等方式进行,防御措施包括禁用外部实体解析、升级补丁和加强系统监控。此外,还提到了XXE盲注的概念。

xxe漏洞无法复现原因

主要是simplexml_load_file这个函数的问题,在旧版本中是默认解析实体的,但是在新版本中,已经不再默认解析实体了,需要在simplexml_load_file函数中指定第三个参数为LIBXML_NOENT,不然不会解析实体的。


xxe实体注入详解

0x00背景

XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进行处理时引发的安全问题.在XML1.0标准?里,XML文档结构里定义了实体(entity)这个概念.实体作用类似word中的"宏",也可以理解为DW中的模板,你可以预先定义一个entity,然后在一个文档中多次调用,或者在多个文档中调用同一个entity(XML定义了两种类型的entity.一种是我们这里说的普通entity,在XML文档中使用;另一种是参数entity,在DTD文件中使用.)

entity的定义语法为

<!DOCTYPE filename
[ <!ENTITY entity-name "entity-content"
]>

定义好的entity在文档中的引用语法为:

&entity-name;

ENTITY可以使用SYSTEM关键字,调用外部资源,而这里是支持很多的协议,如:http;file等 例如:

file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php

0x01原理

如果在产品功能设计当中,解析的xml是由外部可控制的,那将可能形成,如:文件读取,DoS,CSRF等漏洞。各种语言都有支持xml的组件及函数。在PHP中默认处理的函数为: xml_parse和simplexml_load。 xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.。 自己写个脚本测试一下:

最低0.47元/天 解锁文章
simple-xml-2.7.1
11-30
simple-xml是用于解析xml的开源项目,是目前使用较广的,他的执行效率较高,下载包含simple-xml-2.7.1所需要的jar包,doc以及demo.免费。
XML相关的安全漏洞-XXE,XPATH小结
weixin_30273763的博客
03-11 336
0x00前言: 本文主要小结以下php下的xpath查询xml结构的漏洞利用和XXE漏洞利用 xml是可扩展标记语言,它被设计出来是为了存储传输数据的。 它的结构是树形结构,并且标签要成对出现比如下面这个例子 <?xml version="1.0" encoding="utf-8"?> <root>   <name>sijidou</nam...
xml注入漏洞
weixin_45095113的博客
10-28 5654
xml注入
XXE漏洞是什么?XXE漏洞全解析:原理、实战利用与防御指南(新手零踩坑)
最新发布
2401_86065041的博客
03-30 373
XXE漏洞作为Web安全领域的“隐蔽杀手”,虽不如SQL注入、XSS曝光度高,但危害极大,且很多企业会忽视其防护,成为网络攻击的突破口。其实XXE漏洞的学习难度不高,只要掌握核心原理,多做实战练习,新手也能快速上手。对于新手而言,学习XXE漏洞,不仅能掌握漏洞挖掘与利用的技巧,更能理解XML解析的安全风险,为后续学习Web安全、渗透测试打下坚实基础;对于开发者而言,掌握XXE漏洞的防御方法,只需简单配置,就能彻底杜绝漏洞,守护企业数据安全,避免因漏洞造成的巨大损失。
XXE漏洞分析
jklbnm12的博客
09-17 553
0x01:知识准备 XXEXML External Entity Injection,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml\\\_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml\\\_load_string() XML实体分为四种:字符实体,命名实体,外部实体,参数实体 1、命名实体写法: <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE
Xml实体注入漏洞的一些测试和总结
Arno2013的专栏
02-01 6942
Xml实体注入漏洞的一些总结 1、 xml实体注入原理 <!-- 引入外部DTD,也可以包含文件,不过并不能读取全部信息 --> <!DOCTYPE root[ ]> &arno; is readed from read.txt &boot; is readed from file &xxx;表示xxx是xml的一个实体,其值为xml
XMLXXE漏洞 XML外部实体注入攻击
qq_60115503的博客
05-24 1488
XXE:XML External Entity即外部实体,从安全角度理解成XML External attack外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者通过ENTITY伪造外部实体构成,比如PHP中simplexml_load默认情况下会解析外部实体,XXE标志性函数simplexml_load_string()
XXE漏洞简介
不怕死的假老练
09-05 2812
一、概述 XXE(XML External Entity Injection),即MXL外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站,发起dos攻击。 XXE漏洞触发的点出现在系统可以上传XML文件的位置,应用程序对XML输入进行解析时,没有对上传的XML文件内容进行过滤,没有禁止加载外部实体,导致攻击者可以构造一个恶意的XML文件进行上传。 二、基本概念 1.XML XML,即可扩展
XML简介XXE漏洞
weixin_43876438的博客
10-22 929
文章目录XML简介XXE漏洞XML简介使用XML结构XML语法说明XML元素XML属性XML验证XML命名空间CDATADTD内部DTD外部DTDDTD实体内部实体外部实体XXE漏洞危害防护攻击方式实战例子 XML简介XXE漏洞 XML简介 XML指可扩展标记语言,它被设计用来传输和存储数据。(HTML被用来显示数据) XML没有预定义的标签,需要自行定义标签 XML是不作为的,及它不存在任何的行为,只是用来结构化、传输和存储信息 它仅仅是纯文字 XML 是独立于软件和硬件的信息传输工具。 (更多介绍
XXE漏洞
RMC131的博客
04-13 418
XXE Injection,XML Enternal Entity Injection, 由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。条件:libxml< 2.9.1原因是 libxml2.9.1及以后,默认不解析外部实体。程序中多用内部实体例子:
代码审计——常见漏洞审计之php危险函数总结
爱国小白帽
04-24 1942
代码执行 执行代码函数: eval() assert() preg_replace() create_function() array_map() call_user_func() call_user_func_array() array_filter usort uasort() 命令执行 命令执行函数: system() exec() shell_exec() passthru() ...
PHP两文件嵌套循环引用,多个foreach嵌套循环的问题
weixin_35927509的博客
03-09 673
$xml = simplexml_load_file($xml_uri);$offer_url=array("ItemCondition"=>"Qualifiers->ItemCondition","ItemSubcondition"=>"Qualifiers->ItemSubcondition","FulfillmentChannel"=>"Qualifiers-&...
渗透之路基础 -- XXE注入漏洞
09-17 545
XXE漏洞 XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害。xxe漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 类似于...
BUUCTF: [网鼎杯 2020 朱雀组]Nmap
末初 · mochu7
09-21 2845
是可以执行的,可以先上线一个shell,然后在服务器中检查使用其他参数的结果。会将执行语句记录输出文件。控制输出文件内容以及文件格式就可以解析了。的文件无法写入,尝试写入一些可能会解析的其他文件后缀。使用输出格式可以将指定的内容输出到指定的文件格式。对传入的参数的保护(感觉有点点猜的意思。但是这里还有些过滤,比如过滤了关键字。会把扫描结果导出到一个文件里面。题目环境经过测试可以发现只有。,那说明导出的文件格式是。即便执行失败也无所谓,
XXE—实体注入、XXE-lab-master(php_xxe WriteUp)
weixin_41487522的博客
06-25 2301
XXE—实体注入 XXE是什么? XXE=xml external entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击 典型的攻击如下: 定义实体必须写在DTD部分。 什么是XMLXML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 的设计宗旨是传输数据,而非显示数据 XML 标签没有被预定义。您需要自行定义标签。 XML 被设计为具有自我描述性。 XML 是 W3
102.网络安全渗透测试—[常规漏洞挖掘与利用篇18]—[xpath注入与盲注入]
qwsn
02-07 4836
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xpath注入与盲注入 1、什么是xpath注入 2、什么是xpath盲注入 3、xpath查询基本语句 二、xpath注入示例 1、注入漏洞页面源码:xpath.php 2、注入漏洞页面关键源码分析 3、账户信息存储文件:`xpath_user.xml` 4、注入方法 (1)万能密码登录: (2)payload分析: 5、盲注入 (1)获取字符长度函数:`string-length()` (2)截取字符函数:`su
XML漏洞
qq_48511129的博客
01-17 1362
XML指可扩展的标记语言,设计的宗旨是传输数据,而不是显示数据。目前主要是作为配置文件。 在java和php中都可以使用xml作为文件配置和数据传输载体(现在基本使用json传输数据,xml用的少)。 XML语法 1.所有XML元素都须有闭合标签 2.XML标签对大小写敏感 3.XML文档必须有根元素 4.XML的注释 5.XML的属性值须加引号 6.<?xml version="1.0" encoding="UTF-8" ?> XML元素的命名规则 1.名称可以包含字母、数字及其他
浅谈 XXE 漏洞任意文件读取
枫梓林のBlog
05-02 5626
浅谈 XXE 漏洞任意文件读取 文章目录浅谈 XXE 漏洞任意文件读取0x00 前言0x01 XML 基础知识1.什么是XML2.XML 语法2.1 语法规则2.2 XML 结构2.3 XML DTD(文档类型定义)3.XML 注入时的两大要素0x02 XXE 漏洞攻击1.XXE 漏洞演示2.读取 PHP 文件0x03 XXE 漏洞代码分析1.file_get_contents()2.simplexml_load_string 函数介绍3.XXE 注入的思路0x04 无回显文件读取1.实验环境介绍2.实验
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值