XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义,文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,既XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网站等危害
本质就是网站接受XML文件数据,但是没有进行过滤。
XML与HTML差异
XML被设计为传输和存储数据
HTML被设计用来显示数据,其焦点是数据的外观
HTML岂在显示信息,而XML岂在传输信息
涉及无回显读取
涉及更改type类型
扫描IP及端口,扫描探针目录,抓包探针XXE安全,利用XXE读取源码,flag指向文件,base32 64解密,php运行,flag