python解析外部实体_XXE外部实体注入漏洞

XML被设计为传输和存储数据&＃xff0c;XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素&＃xff0c;其焦点是数据的内容&＃xff0c;其把数据从HTML分离&＃xff0c;是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection&＃xff0c;即xml外部实体注入漏洞&＃xff0c;XXE漏洞发生在应用程序解析XML输入时&＃xff0c;没有禁止外部实体的加载&＃xff0c;导致可加载恶意外部文件&＃xff0c;造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。

与html区别&＃xff1a;

Xml:被设计为传输和存储数据&＃xff0c;其焦点是数据的内容

Html:是为了显示数据&＃xff0c;焦点是外观

Html旨在显示信息&＃xff0c;xml旨在传输信息。

Xml典型代码&＃xff1a;

]]]>

Dave

Tom

各脚本支持的协议&＃xff1b;

存在xxe的情况下&＃xff1a;

#玩法-读文件

]>

&xxe; &xxe;

//xxe为变量&＃xff0c;读取test.txt

//打印出来

用file协议读指定路径的文件

显示结果&＃xff1a;

#玩法-内网探针或攻击内网应用(触发漏洞地址)内网探针

]>

&rabbit;

#引入外部实体dtd,dtd就是xml的后缀&＃xff0c;识别为xml格式

如果设置了禁止外部实体引用&＃xff0c;将会失效

%file;

]>

&send;

可以在远程服务器evil2.dtd写上:

#无回显-读取文件

%dtd;

%send;

]>

Base64加密是反正传输中乱码&＃xff0c;传输失败。

本地192.168.0.103上构造&＃xff1a;

test.dtd&＃xff1a;

""

>

%payload;

开启日志&＃xff0c;看日志就可以看到test.txt数据了。

#协议-读文件(绕过)

参考&＃xff1a;https://www.cnblogs.com/20175211lyz/p/11413335.html

]>

&f;

如何检测&＃xff1a;

数据格式类型

如果发现有testMikasa  类型

抓包发现  content-type中是  text/xml  或者 application/xml

盲猜:更改content-type值application/xml看返回

burp上抓包 右键

do an active scan:扫描漏洞

Send to spider:爬行

利用爬行&＃xff0c;找到有xml&＃xff0c;把xml代码拷贝到post上既可以利用

CTF-Vulnhub-XXE安全真题复现

例子&＃xff1a;

扫描IP及端口->扫描探针目录->抓包探针xxe安全->利用xxe读取源码->flag指向文件->base32 64解密->php运行->flag

xxe安全漏洞自动化注射脚本工具-XXEinjector(Ruby)

https://www.cnblogs.com/bmjoker/p/9614990.html

xxe_payload_fuzz

很多靶场镜像的网站&＃xff1a;

#xxe漏洞修复与防御方案-php,java,python-过滤及禁用

#方案1-禁用外部实体

PHP:

libxml_disable_entity_loader(true);

JAVA:

DocumentBuilderFactory dbf &＃61;DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false);

Python&＃xff1a;

from lxml import etreexmlData &＃61; etree.parse(xmlSource,etree.XMLParser(resolve_entities&＃61;False))

#方案2-过滤用户提交的XML数据

过滤关键词&＃xff1a;!ENTITY&＃xff0c;或者SYSTEM和PUBLIC

涉及资源&＃xff1a;