0xx1 XXE
- 介绍
XML外部实体注入(XML External Entity)简称XXE,XML用于标记电子文件使其具有结构性的标记语句,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素
- 文档定义类型
- 内部声明:<!DOCTYPE 根元素 [元素声明]>
- 引用外部:<!DOCTYPE 根元素 SYSTEM “文件名”>
- 内部声明实体格式:<!ENTITY 实体名称 “实体值”>
- 引用外部实体格式: <!ENTITY 实体名称 SYSTEM “URL”>
- XXE漏洞利用
直接通过DTD外部实体声明
通过DTD文档引入外部DTD文档,再引入外部实体声明
通过DTD外部实体声明引入外部实体声明