三十九：WEB漏洞-XXE&XML之利用检测绕过全解

           XML被设计为传输和存储数据，XML文档结构包括XML声明，DTD文档类型定义，文档元素，其焦点是数据的内容，其把数据从HTML分离，是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,既XML外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载外部文件，造成文件读取，命令执行，内网端口扫描，攻击内网网站等危害
	
	本质就是网站接受XML文件数据，但是没有进行过滤。
	
XML与HTML差异
XML被设计为传输和存储数据

HTML被设计用来显示数据，其焦点是数据的外观
HTML岂在显示信息，而XML岂在传输信息

涉及无回显读取                                                                  
涉及更改type类型

扫描IP及端口，扫描探针目录，抓包探针XXE安全，利用XXE读取源码，flag指向文件，base32 64解密，php运行，flag