强力工具助你一臂之力：XXECheck–全面提升XML安全，防护XXE漏洞，从零基础到精通，收藏这篇就够了！

XXECheck

XXECheck 是一种用于检测和防止 XML 外部实体 (XXE) 注入攻击的安全工具或库，一款XXE漏洞检测工具，支持 DoS 检测（DoS 检测默认开启）和 DNSLOG 两种检测方式，能对普通 xml 请求和 xlsx 文件上传进行 XXE 漏洞检测。

什么是XXE漏洞

XXE（XML External Entity, XML外部实体）漏洞是一种与XML处理相关的安全漏洞。它允许攻击者利用XML解析器中对外部实体的处理能力，通过注入恶意的外部实体，控制目标系统的行为，从而实现信息泄露、拒绝服务（DoS），甚至远程代码执行等攻击

环境准备及错误解决

看看使用帮助 ，如果python3没有回显，则使用python

python XXECheck.py -h   python3 XXECheck.py -h   

image-20250118184751589

翻译一下

XXE 漏洞检测工具   选项：     -h, --help         显示帮助信息并退出     -t [request,xlsx], --type [request,xlsx]                        指定操作类型: 'request' 用于正常的请求操作，'xlsx' 用于上传 XLSX 文件。     -d DNS, --dns DNS  DNS 请求链接。     -f FILE, --file FILE                        请求数据文件路径，例如 Burp Intruder 请求包。     --nodos            禁用 DOS 检测功能。   

看看XXECheck.py代码里的内容

image-20250118184954608

首先代码正常运行需要上面的模块，不能有缺失，如果发现有模块缺失的。比如我下面

image-20250118185147986

则需要下载该模块

pip install 缺失的模块   

全部模块都具备后才可正常使用

使用说明

对普通请求进行检测，指定请求包为 1.txt，-d 添加 dnslog 链接，不加只进行 DoS 检测，如果不想使用 DoS 检测请添加 --nodos

python3 XXECheck.py -t request -f 1.txt -d dnslog   

如果不指定请求包，则会生成检测 POC，手工检测

python3 XXECheck.py -t request -d dnslog   

对 xlsx 上传功能进行检测，指定请求包为 1.txt，-d 添加 dnslog 链接，不加只进行 DoS 检测，如果不想使用 DoS 检测请添加 --nodos

python3 XXECheck.py -t xlsx -f 1.txt -d dnslog   

如果不指定请求包，则会生成带有 POC 的 xlsx 文件，手工检测

python3 XXECheck.py -t xlsx -d dnslog   

免责声明

• 本工具仅面向合法授权的企业安全建设行为，如您需要测试本工具的可用性，请自行搭建靶机环境。

• 在使用本工具进行检测时，您应确保该行为符合当地的法律法规，并且已经取得了足够的授权。请勿对非授权目标进行测试。

• 如您在使用本工具的过程中存在任何非法行为，您需自行承担相应后果，我们将不承担任何法律及连带责任。

• 除非您已充分阅读、完全理解并接受本协议所有条款，否则，请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表示接受本协议的，即视为您已阅读并同意本协议的约束。

end

oscp

有对红队工作感兴趣，或者有意报考oscp的师傅，可以考虑一下我们的培训课程，加我微信咨询，好处如下：

1.报考后课程随时可看，并且如果对考试没有信心，还可以留群跟第二批课程学习，不限次数时间，报考即是一辈子可看

2.200+台靶机及官方课程，lab靶机+域的内容团队泷老师和小羽老师会带大家全部过一遍，并且群内随时答疑，团队老师及群友都会积极解答，全天可答疑

3.目前可接受分期付款，无利息，最多分四个月，第一次付完即可观看视频

4.加入课程可享受工作推荐机会，优秀者可内推至红队，月薪3w+

5.报考即送送官方文档中文版，以及kali命令详解中文版，纯人工翻译，版权为团队所有

资料：

知识星球

还可以加入我们的知识星球，包含cs二开，甲壳虫，网恋避险工具，红盟工具等，还有很多src挖掘资料包

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，需要点击下方链接即可前往获取

读者福利 | 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程文末领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！（全套教程文末领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~

读者福利 | 优快云大礼包：《网络安全入门&进阶学习资源包》免费分享 （安全链接，放心点击）