web渗透--25--XXE外部实体注入

1、漏洞描述：

XXE Injection即XML External Entity Injection，也就是XML外部实体注入攻击。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。

在XML1.0标准里，XML文档结构里定义了实体(entity)这个概念。实体可以通过预定义在文档中调用，实体的标识符可访问本地或远程内容。如果在这个过程中引入了“污染”源，在对XML文档处理后则可能导致信息泄漏等安全问题。

借助XXE，攻击者可以实现任意文件读取，DOS拒绝服务攻击以及代理扫描内网等。对于不同XML解析器，对外部实体有不同处理规则，在PHP中默认处理的函数为: xml_parse和simplexml_load。xml_parse的实现方式为expat库，默认情况不会解析外部实体，而simplexml_load默认情况下会解析外部实体，造成安全威胁。除PHP外，在Java，Python等处理xml的组件及函数中都可能存在此问题。

2、检测条件：

会解析外部实体的情况下(即使用了可解析外部实体的函数)。

3、检测方法

XML中entity的定义语法为：

如果要引用一个外部资源，可以借助各种协议几个例子：

file:///path/to/file.ext
http://url/file.ext
php://filter/read=convert.base64-encode/resource=conf.php

故构造简单的Payload模型如下：