靶场科普 | XXE漏洞

今天，给大家介绍一下“东塔攻防世界”其中的一个靶场：“XXE漏洞”。

一、实验介绍

1. XXE（XML External Entity Injection）：全称XML外部实体注入漏洞。

1） XML （可扩展标记语言，EXtensibleMarkup Language），用于标记电子文件使其具有结构性的标记语言，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

2）DTD（文档类型定义，DocumentType Definition）的作用是定义 XML 文档的合法构建模块，它使用一系列的合法元素来定义文档结构，可以在 XML文档内声明，也可以外部引用。

3）ENTITY（实体），XML中的实体类型，一般有下面几种：字符实体、命名实体（或内部实体）、外部普通实体、外部参数实体。除外部参数实体外，其它实体都以字符（&）开始，以字符（;）结束。

当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

更多基础知识可参考：http://www.w3school.com.cn/xml/xml_intro.asp

二、实验目的

1. 了解xxe漏洞的原理和利用

2. 了解外部实体注入以及xml文档

三、实验步骤

1. 打开实验环境，熟悉此漏洞的利用方法

2. 访问浏览器，使用burp进行抓包；

3.发送到repeter模块，提交payload，读出了密码文件。

四、防御方法

1. 使用开发语言提供的禁用外部实体的方法

2. 过滤用户提交的XML数据

速度登录https://labs.do-ta.com/ GET起来

现在注册，立得50积分哟 ✌