1、前景引入

1.1、XML简介

XML外部实体注入（XML External Entity）简称XXE漏洞。

那么XML是什么呢r> XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。
XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。

XML被设计为传输和存储数据，其焦点是数据的内容，目的是把数据从HTML分离，是独立于软件和硬件的信息传输工具。XML文档有自己的一个格式规范，这个格式规范是由一个叫做DTD（document type definition）的东西控制的。

1.2、DTD简介

档类型定义（DTD）可定义合法的XML文档构建模块。它使用一系列合法的元素来定义文档的结构。
DTD 可被成行地声明于 XML 文档中，也可作为一个外部引用。
DTD的具体简介参见：DTD菜鸟教程

DTD作用：

• 通过 DTD，您的每一个 XML 文件均可携带一个有关其自身格式的描述。
• 通过 DTD，独立的团体可一致地使用某个标准的 DTD 来交换数据。
• 而您的应用程序也可使用某个标准的 DTD 来验证从外部接收到的数据。
• 您还可以使用 DTD 来验证您自身的数据。

1.2.1、内部的 DOCTYPE 声明

假如 DTD 被包含在您的 XML 源文件中，它应当通过下面的语法包装在一个 DOCTYPE 声明中：

带有DTD的XML文档实例：

1.2.2、外部文档声明

假如 DTD 位于 XML 源文件的外部，那么它应通过下面的语法被封装在一个 DOCTYPE 定义中：

这个 XML 文档和上面的 XML 文档相同，但是拥有一个外部的 DTD:

外部DTD（包含 DTD 的 “note.dtd” 文件：）

1.2.3、DTD实体

实体是用于定义引用普通文本或特殊字符的快捷方式的变量。

• 实体引用是对实体的引用。
• 实体可在内部或外部进行声明。

内部实体

语法

例子：

注意： 一个实体由三部分构成: 一个和 (&), 一个实体名称, 以及一个分 (??。

外部实体

语法

实例

XML文档包含system标识符定义的“实体”，这些文档会在DOCTYPE头部标签中呈现。这些定义的’实体’能够访问本地或者远程的内容。**假如 SYSTEM 后面的内容可以被用户控制，**那么用户就可以随意替换为其他内容，从而读取服务器本地文件（file:///etc/passwd)或者远程文件（http://www.baidu.com/abc.txt）。

外部引用可支持http，file等协议，不同的语言支持的协议不同，但存在一些通用的协议，具体内容如下所示：

3、XXE危害

以下大部分来自于 文章：
https://blog.csdn.net/dl71181/article/details/101281475m_medium=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param&depth_1-utm_source=distribute.pc_relevant.none-task-blog-BlogCommendFromMachineLearnPai2-2.channel_param

3.1、任意文件读取

3.3、测试后端服务器的开放端口

3.5、命令执行

4、参考链接

未知攻焉知防——XXE漏洞攻防
XXE漏洞原理、演示与防御
XXE漏洞攻防原理