0x00 什么是XML 1.定义 XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XM ...

前言 对于xxe漏洞的认识一直都不是很清楚，而在我为期不长的挖洞生涯中也没有遇到过，所以就想着总结一下，撰写此文以作为记录，加深自己对xxe漏洞的认识。 xml基础知识 要了解xxe漏洞，那么一定得先明白基础知识，了解xml文档的基础组成。 XML用于标记电子文件使其具有结构性的标记 ...

XXE简介 XXE（XML外部实体注入，XML External Entity) ，漏洞在对不安全的外部实体数据进行处理时，可能存在恶意行为导致读取任意文件、探测内网端口、攻击内网网站、发起DoS拒绝服务攻击、执行系统命令等问题。简单来说，如果系统能够接收并解析用户的XML，但未禁用 ...

这几天，想复习一下xxe的知识，于是把以前的一个靶场拿过来玩玩，顺便审计一下代码2333，靶场地址：https://github.com/c0ny1/xxe-lab 首先先练习的是php-xxe： ...

0x00、XXE漏洞 XXE漏洞全称XML External Entity Injection 即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码，造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害 ...

0x00、XXE漏洞攻击实例 攻击思路： 1. 引用外部实体远程文件读取 2. Blind XXE 3. Dos 0x01、外部实体引用，有回显 实验操作平台：bWAPP平台上的XXE题目 题目： 进行抓包，点击Any bugs？按钮，抓包如下： 可以看到 ...

注入漏洞： 　　XXE漏洞全称XML External Entity Injection即xml外部 ...

XXE漏洞概述 XXE(XML External Entity Injection) 漏洞发生在应用程序解析 XML 解析时，没有禁止外部实体的执行的权限，利用支持的协议进行内网探测和入侵（不用的语言支持的协议不一致）， 参考https://security.tencent.com ...