靶场科普 | XXE漏洞

发表时间:2021-04-29 15:02
点击上方蓝字关注,更多惊喜等着你


本文由“东塔网络安全学院”总结归纳


靶场介绍

XXE漏洞


今天,给大家介绍一下“东塔攻防世界”其中的一个靶场:“XXE漏洞”。

一、实验介绍

1. XXE(XML External Entity Injection):全称XML外部实体注入漏洞。

1) XML (可扩展标记语言,EXtensibleMarkup Language),用于标记电子文件使其具有结构性的标记语言,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

2)DTD(文档类型定义,DocumentType Definition)的作用是定义 XML 文档的合法构建模块,它使用一系列的合法元素来定义文档结构,可以在 XML文档内声明,也可以外部引用。

3)ENTITY(实体),XML中的实体类型,一般有下面几种:字符实体、命名实体(或内部实体)、外部普通实体、外部参数实体。除外部参数实体外,其它实体都以字符(&)开始,以字符(;)结束。

当允许引用外部实体时,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

更多基础知识可参考:http://www.w3school.com.cn/xml/xml_intro.asp



二、实验目的

1. 了解xxe漏洞的原理和利用

2. 了解外部实体注入以及xml文档


三、实验步骤

1. 打开实验环境,熟悉此漏洞的利用方法

2. 访问浏览器,使用burp进行抓包;

3.发送到repeter模块,提交payload,读出了密码文件。


四、防御方法

1. 使用开发语言提供的禁用外部实体的方法

2. 过滤用户提交的XML数据


速度登录https://labs.do-ta.com/ GET起来

现在注册,立得50积分哟 ✌