xxe(xml外部实体注入)

XXE(xml外部实体注入漏洞)

xml实体分为4种，分别是内部实体、参数实体、预定义实体和外部实体

内部实体：

在 DTD 或内部子集（即文档中 语句的一部分）中声明，在文档中用作引用。在 XML 文档解析过程中，实体引用将由它的表示替代。

预定义实体：

实体	描述
"	双引号
'	单引号
<	小于，即<
>	大于，即>
&	&

DTD（文档类型定义）的作用是定义 XML 文档的合法构建模块。DTD 可以在 XML 文档内声明，也可以外部引用。

内部声明DTD

引用外部DTD

或者

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量，可以内部声明或外部引用。内部声明实体

参数实体

参数实体只用于 DTD 和文档的内部子集中，XML的规范定义中，只有在DTD中才能引用参数实体. 参数实体的声明和引用都是以百分号%。并且参数实体的引用在DTD是理解解析的，替换文本将变成DTD的一部分。该类型的实体用“％”字符（或十六进制编码的％）声明，并且仅在经过解析和验证后才用于替换DTD中的文本或其他内容：

引用外部实体

其中SYSTEM关键字就是外部实体的标记、外部实体接受本地文件、http、file等协议形式的内容

libxml2	php	java	.net
file http ftp	file http ftp php compress.zlib compress.bzip2 datag1obphar	http https ftp file jar netdoc mailto gopher *	file http https ftp

xxe攻击方式有基于回显、基于报错和blind xxe
危害：当允许引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。

]>
&abc;

]>

&lol9;

&xxe;

转载于:https://www.cnblogs.com/GH-D/p/11279045.html