XXE
1、XXE
1.1 XXE概述
(1)xml格式
(2)DTD:文档类型定义,用来为xml文档定义语义约束
(3)外部实体引用payload:
(4)simplexml_load_string():
函数转换形式良好的xml字符串为simplexmlElement对象
在php里边解析xml用libxml库,但是其在版本>=2.9.0的版本中,默认禁止解析外部实体的xml内容
1.2 XEE实验过程
(1)
<?xml version = "1.0"?>
<!DOCTYPE note [
<!ENTITY hacker "ESHLkangi">
]>
<name>&hacker;</name>