[GoogleCTF2019 Quals]Bnv
题目发包信息为json,但是如果服务器能够解析xml并且并没有相应的过滤的话,就有可能存在xxe漏洞,具体参见
神奇的Content-Type——在JSON中玩转XXE攻击
01 XML基础知识
内部声明DTD
<!DOCTYPE 根元素 [元素声明]>
外部引用DTD
<!DOCTYPE 根元素 SYSTEM "文件名">
<!DOCTYPE 根元素 PUBLIC "public_ID" "文件名">
实体
<!ENTITY 实体名 实体值> 内部实体
<!ENTITY 实体名 SYSTEM url> 外部实体
<!ENTITY 实体名 PUBLIC "public_ID" "URL"> 外部普通实体
<!ENTITy % 实体名 SYSTEM "URL"> 外部参数实体
10 外部实体注入(XML External Entity即xxe)
当允许使用外部实体时可能出现任意文件读取、命令执行、内网探测等危险。
<?xml version="1.0"?>