简介
这是一个 XXE 漏洞检测工具,支持 DoS 检测(DoS 检测默认开启)和 DNSLOG 两种检测方式,能对普通 xml 请求和 xlsx 文件上传进行 XXE 漏洞检测。
什么是XXE漏洞
XXE(XML External Entity, XML外部实体)漏洞是一种与XML处理相关的安全漏洞。它允许攻击者利用XML解析器中对外部实体的处理能力,通过注入恶意的外部实体,控制目标系统的行为,从而实现信息泄露、拒绝服务(DoS),甚至远程代码执行等攻击
使用说明
对普通请求进行检测,指定请求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,如果不想使用 DoS 检测请添加 --nodos
python3 XXECheck.py -t request -f 1.txt -d dnslog如果不指定请求包,则会生成检测 POC,手工检测
python3 XXECheck.py -t request -d dnslog对 xlsx 上传功能进行检测,指定请求包为 1.txt,-d 添加 dnslog 链接,不加只进行 DoS 检测,如果不想使用 DoS 检测请添加 --nodos
python3 XXECheck.py -t xlsx -f 1.txt -d dnslog如果不指定请求包,则会生成带有 POC 的
