《XXer 项目安装与配置指南》

《XXer 项目安装与配置指南》

xxer A blind XXE injection callback handler. Uses HTTP and FTP to extract information. Originally written in Ruby by ONsec-Lab. 项目地址: https://gitcode.com/gh_mirrors/xx/xxer

1. 项目基础介绍

XXer 是一个盲 XXE 注入回调处理工具，主要用于在发现 XXE（XML External Entity）漏洞后，通过 HTTP 和 FTP 协议提取信息。该工具最初由 ONsec-Lab 用 Ruby 编写，这里提供的是由 TheTwitchy 用 Python 语言重写的版本。

主要编程语言：Python

2. 关键技术和框架

• XML 外部实体（XXE）漏洞利用：通过构造特殊的 XML 请求，利用应用程序处理不正确的 XML 实体声明，从而获取敏感信息。
• HTTP 和 FTP 服务器：项目内置了简易的 HTTP 和 FTP 服务器，用于接收和处理来自 XXE 漏洞的回调数据。
• Python 标准库：主要使用 Python 的内置库，如 http.server 和 ftplib 来实现服务器功能。

3. 安装和配置

准备工作

在开始安装之前，请确保您的系统中已安装以下软件：

• Python（建议使用 Python 3）
• Git

安装步骤

1. 克隆项目到本地

   打开命令行，执行以下命令克隆项目：

   git clone https://github.com/TheTwitchy/xxer.git
   cd xxer
   

2. 确认 Python 版本

   确保 Python 版本为 3.x，执行：

   python --version
   

   如果版本不是 3.x，请安装或切换到 Python 3。

3. 运行 XXer

   在项目目录中，直接运行以下命令启动 XXer：

   python xxer.py -H 你的服务器地址
   

   替换 -H 后的 你的服务器地址 为你的实际服务器 IP 地址或域名。

4. 获取 payload

   启动 XXer 后，控制台会显示用于 XXE 攻击的 payload。复制这个 payload，它将用于构造 XXE 漏洞的利用。

5. 配置防火墙

   如果你在配置了防火墙的环境中运行 XXer，请确保 HTTP 和 FTP 服务器端口（默认分别是 8080 和 2121）已经开放。

完成以上步骤后，XXer 应该已经可以在你的系统上运行，并准备好接收 XXE 漏洞的回调数据。

请注意，该工具仅适用于合法的安全测试和教育目的，不应在未授权的环境中使用。

xxer A blind XXE injection callback handler. Uses HTTP and FTP to extract information. Originally written in Ruby by ONsec-Lab. 项目地址: https://gitcode.com/gh_mirrors/xx/xxer