php代码审计-xml注入篇

Created2025-04-15|Updated2025-05-05

|Post Views:

这个洞其实我都不太乐意去讲，也没什么好说的

php XML实体注入解析函数

simplexml_load_file
simplexml_load_string
simpleXMLElement
DOMDocument
xml_parse

php中的xxe漏洞逐渐减少

php xml操作依赖libxml库

libxml2.9.0+默认关闭XML外部实体解析开关

如何挖掘xml实体注入(xxe)漏洞？暴力搜索！！！！！！

核心代码

$data= file_get_contents(‘php://input’);
$object=simplexml_load_string($data);
//……
echo $object ->name;

常见于需要权限验证的web应用中

例子：Z-BLOG Blind-XXE造成任意文件读取

https://bugs.leavesongs.com/php/z-blog-blind-xxe%E9%80%A0%E6%88%90%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E8%AF%BB%E5%8F%96/

Author: KaedeHo

Link: http://example.com/2025/04/15/php%E4%BB%A3%E7%A0%81%E5%AE%A1%E8%AE%A1-xml%E6%B3%A8%E5%85%A5%E7%AF%87/

Copyright Notice: All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.

PHP代码审计

Related Articles

php代码审计-sql注入篇

sql注入是php代码审计的主要漏洞点之一，另一个是upload 反向查找流程：通过可控变量（输入点）回溯危险函数查找危险函数确定可控变量传递的过程中触发漏洞但是上述的流程也并不完全的正确，例如有些铭感函数虽然出现在了程序当中，但是触发的流程需要经过转义注释等，那么这个函数就不构成威胁具体反向查找的例子：B-blog-bind xxe 反向查找流程特点上下文无关危险函数，调用即漏洞根源：危险函数导致漏洞特点：暴力：全局搜索危险函数简单：无需过多理解目标网站功能与框架快速：适用于自动化代码审计工具无法挖掘逻辑漏洞：逻辑漏洞一般不存在危险函数，或危险函数的参数看似不可控适应性较差：不适合存在全局过滤的站点正向查找流程：从入口函数出发找到控制器，理解url派发规则跟踪控制器调用，以理解代码作为目标进行源码阅读阅代码的过程中，可能发现漏洞具体正向查找的例子：PHPCMSv9.6.0...

php代码审计-任意文件操作篇

常见的一些文件类的危险函数文件包含 include require include_once require_once sql_autoload 文件读取 file_get_contents php://filter 绕过死亡file_put_content() base64...

php代码审计-全局配置篇

关于php运行服务的方式除了依赖中间件的方式除外还有php -S 127.0.0.1：9000这种方式这点与python高度类似、关于php函数中的那些危险全局变量magic_quotes_gpc这个函数多用于数据库等接口等铭感程序，magic_quotes_gpc函数在php中的作用是判断解析用户提示的数据，如包括有：post、get、cookie过来的数据增加转义字符“\”，对POST、𝑃𝑂𝑆𝑇 __GET以及进行数据库操作的sql进行转义处理，以确保这些数据不会引起程序，特别是数据库语句因为特殊字符引起的污染而出现致命的错误。防止sql注入（在5.3被废弃，在5.4后移除）关于其相关配置当PHP...

php代码审计-前端漏洞篇

在实战中不建议深度挖掘，这些漏洞一般都可以通过一些逻辑漏洞进行绕过白盒审计中的前端漏洞前端漏洞类型： xss漏洞 CSRF漏洞 JSONp劫持漏洞 url跳转漏洞点击劫持漏洞白盒测试中的XSS漏洞如何在白盒测试中寻找xss漏洞自动化FUZZ，寻找输出函数富文本xss挖掘那么就有个问题，什么是富文本富文本就是例如网站开发者为使用者开发的留言板，文章编辑器等内容富文本xss常见的富文本过滤方法：黑名单过滤： 1234<?php$a=$_GET['1'];$b=htmlspecialchars($a);?> 1234<?php$a=$_GET[('1')];$b=strip_tags($a);?> 上述的两种方式虽然十分的高效和有效，但是其必然会影响到业务的正常，尤其是那些博客在线编辑等网站，这个时候一般的开发者就会选泽富文本过滤器其实也没什么高深的，就是处理了一些js前端敏感和危险的函数 1<script src=16 href=16...

php代码审计-反序列化篇

什么是序列化？为什么几乎所有语言都有序列化功能实序列化最终的目的是为了对象可以跨平台存储，和进行网络传输。而我们进行跨平台存储和网络传输的方式就是IO，而我们的IO支持的数据格式就是字节数组。因为我们单方面的只把对象转成字节数组还不行，因为没有规则的字节数组我们是没办法把对象的本来面目还原回来的，所以我们必须在把对象转成字节数组的时候就制定一种规则（序列化），那么我们从IO流里面读出数据的时候再以这种规则把对象还原回来（反序列化） 1234567891011<?phpclass aaaa{ public $name; function __construct($name) { $this->name=$name; }}$obj= new aaaa( name: "kaede");echo serialize($obj);?> 这就是php反序列化中的pop链 12345678910111213<?phpclass aaaa{ ...

php代码审计-命令执行RCE篇

php命令执行函数php原生的命令执行函数如下，一共7个 system passthru (语法与system类似) exec（需要输出函数才能执行，** **） shell_exec （与exec一样，语法如下echo shell_exec(“tac flag.php”);） popen （格式语法如下popen(command,mode) command 必需。规定要执行的命令。 mode 必需。规定连接模式。可能的值：+ r: 只读。+ w: 只写...