** XXE漏洞 一、XML基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 内部声明DTD 根元素 [元素声明]> 引用外部DTD 根元素 SYSTEM “文件名”> 内部声明实体 实体名称 "实体的值” 引用外部实体 实体名称 SYSTEM “URI”> 二、XML外部实体注入 恶意引入外部实体方式1: 恶意引入外部实体方式2: XML内容: DTD文件(evil.dtd)内容: