2021-08-25 网安实验-Web渗透测试之XML攻击

有回显的本地文件读取

文件内容中存在很多的特殊字符：大于号、小于号等，我们在前面的XML基础巩固中也提到过，当xml的标签内还存在小于号、大于号等特殊字符时，尤其是小于号，会被XML解析器误认为是另一个标签的开始，这样就会造成解析的错误。

无回显的本地文件读取

首先，我们使用ncat监听一个端口：

我们选择使用外部DTD，evil2编写如下：
开始攻击&#x

文章来源: codeboy.blog.csdn.net，作者：愚公搬代码，版权归原作者所有，如需转载，请联系作者。

原文链接：codeboy.blog.csdn.net/article/details/119904822