强力工具助你一臂之力:XXECheck–全面提升XML安全,防护XXE漏洞!
泷羽Sec-trackXXECheck
XXECheck 是一种用于检测和防止 XML 外部实体 (XXE) 注入攻击的安全工具或库,一款XXE漏洞检测工具,支持 DoS 检测(DoS 检测默认开启)和 DNSLOG 两种检测方式,能对平凡 xml 哀求和 xlsx 文件上传进行 XXE 漏洞检测。
源地址:https://github.com/Weijin-wj/XXECheck
什么是XXE漏洞
XXE(XML External Entity,XML外部实体)漏洞是一种与XML处理相干的安全漏洞。它允许攻击者使用XML剖析器中对外部实体的处理本领,通过注入恶意的外部实体,控制目标体系的行为,从而实现信息泄漏、拒绝服务(DoS),甚至远程代码执行等攻击
环境预备及错误办理
看看使用帮助 ,假如python3没有回显,则使用python
python XXECheck.py -h
python3 XXECheck.py -hhttps://track123.oss-cn-beijing.aliyuncs.com/20250118184751766.png
翻译一下
XXE 漏洞检测工具
选项:
-h, --help 显示帮助信息并退出
-t , --type
指定操作类型: 'request' 用于正常的请求操作,'xlsx' 用于上传 XLSX 文件。
-d DNS, --dns DNSDNS 请求链接。
-f FILE, --file FILE
请求数据文件路径,例如 Burp Intruder 请求包。
--nodos 禁用 DOS 检测功能。看看XXECheck.py代码里的内容
https://track123.oss-cn-beijing.aliyuncs.com/20250118184954653.png
首先代码正常运行需要上面的模块,不能有缺失,假如发现有模块缺失的。比如我下面
https://track123.oss-cn-beijing.aliyuncs.com/20250118185148026.png
则需要下载该模块
pip install 缺失的模块全部模块都具备后才可正常使用
使用说明
对平凡哀求进行检测,指定哀求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,假如不想使用 DoS 检测请添加 --nodos
python3 XXECheck.py -t request -f 1.txt -d dnslog假如不指定哀求包,则会生成检测 POC,手工检测
python3 XXECheck.py -t request -d dnslog对 xlsx 上传功能进行检测,指定哀求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,假如不想使用 DoS 检测请添加 --nodos
python3 XXECheck.py -t xlsx -f 1.txt -d dnslog假如不指定哀求包,则会生成带有 POC 的 xlsx 文件,手工检测
python3 XXECheck.py -t xlsx -d dnslog免责声明
[*]本工具仅面向合法授权的企业安全建立行为,如您需要测试本工具的可用性,请自行搭建靶机环境。
[*]在使用本工具进行检测时,您应确保该行为符合当地的法律法规,并且已经取得了足够的授权。请勿对非授权目标进行测试。
[*]如您在使用本工具的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。
[*]除非您已充分阅读、完全明白并接受本协议全部条款,否则,请您不要使用本工具。您的使用行为或者您以其他任何明示或者默示方式表现接受本协议的,即视为您已阅读并同意本协议的约束。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]