扫码加圈子
获内部资料
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
原文链接:https://xz.aliyun.com/t/17026
作者:1782775301243752
当前文章所介绍的仅仅是用于SRC当中的技巧,所以不会更深层次的利用。
文章中涉及的敏感信息均已做打码处理,文章仅做经验分享用途,切勿当真,未授权的攻击属于非法行为!文章中敏感信息均已做多层打码处理。传播、利用本文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任,一旦造成后果请自行承担。
尝试读取 /etc/passwd
文件。
<root>&test;</root>
尝试使用base64绕过
<foo/>
%ext;
]>
<r></r>
<root>&test;</root>
尝试使用base64绕过
%ext;
]>
<r></r>
SVG 格式当中的XXE
在实际的src挖掘当中,svg格式上传的地方不是很多,通常来说当有svg上传的地方一般首先会尝试XSS。
payload
<svgwidth="128px"height="128px"xmlns="http://www.w3.org/2000/svg"xmlns:xlink="http://www.w3.org/1999/xlink"version="1.1">
<textfont-size="16"x="0"y="16">&xxe;</text>
</svg>
docx 格式当中的XXE
这是一个word文档解压后的内容
最简单粗暴的方式,使用工具:whitel1st/docem: A tool to embed XXE and XSS payloads in docx, odt, pptx, xlsx files (oxml_xxe on steroids)生成docx的payload,该工具会在每一个xml文件当中插入指定的payload。
Excel格式当中的XXE
但是为什么我们的XML会被解析?
-
apache poi (Apache POI详解及Word文档读取示例-阿里云开发者社区)
-
开发者自己写的office文档解析代码
-
..........
对于前者来说,存在两个漏洞CVE-2019-12415
与CVE-2014-3529
如果是CVE-2014-3529,那么我们直接使用docem工具进行生成payload就可以利用,具体原理不多叙述。
如果是CVE-2019-12415,那么情况就有所变化,下载excel文件,编辑xmlMaps.xml(路径在下面)
文件当中放入次代码
<xsd:redefineschemaLocation="http://dnslog.cn/"></xsd:redefine>
也是能够成功访问dnslog地址的(这个洞有点弱,只能访问dnslog)
Pdf 格式当中的XXE
先来抓个包
压缩文件当中的XXE
注意压缩文件当中必须要有xml文件!!!压缩后,在burp当中进行抓包,修改插入payload。
更多文件的XXE
多关注一下文件上传的功能点,只要出现了xml标签,就尝试插入XXE
参考如下
blackhat.com/docs/webcast/11192015-exploiting-xml-entity-vulnerabilities-in-file-parsing-functionality.pdf
https://www.youtube.com/watch?v=aSiIHKeN3ys
原文始发于微信公众号(神农Sec):XXE 在文件上传当中的应用
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论