0x00、XXE是什么?
XXE也就是XML外部实体注入攻击。
0x01、什么是XML呢?
1.XML 指可扩展标记语言(EXtensible Markup Language)
2.XML 是一种标记语言,很类似 HTML
3.XML 的设计宗旨是传输数据,而非显示数据
4.XML 标签没有被预定义。您需要自行定义标签。
5.XML 被设计为具有自我描述性。
6.XML 是 W3C 的推荐标准
0x03、XXE实体注入原理
有了XML实体,关键字’SYSTEM’会令XML解析器从URI中读取内容,并允许它在XML文档中被替换。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。 简单来说,攻击者强制XML解析器去访问攻击者指定的资源内容(可能是系统上本地文件亦或是远程系统上的文件)。
0x04、实战部分
找到网站,先收集下指纹信息吧。
whatweb在线指纹识别(本来一直用云悉的,但是现在云悉搞得越来越反人类了,各种条件限制,就用whatweb吧)
可以