XXE

1、XXE

（1）xml格式

（2）DTD：文档类型定义，用来为xml文档定义语义约束

（3）外部实体引用payload：

（4）simplexml_load_string()：

　　函数转换形式良好的xml字符串为simplexmlElement对象

　　在php里边解析xml用libxml库，但是其在版本>=2.9.0的版本中，默认禁止解析外部实体的xml内容

（1）

<?xml version = "1.0"?>
<!DOCTYPE note [
<!ENTITY hacker "ESHLkangi">
]>
<name>&hacker;</name>

相关阅读:
.NetCore中获取持久化哈希值
switch类型模式
.NET6之MiniAPI(三)：Response
.NET6之MiniAPI(二)：request
.NET6之MiniAPI(一)：开始Mini API
.net6给winform带来的新功能
2021.NET Conf China上的GraphQL
Maptalks 注册自定义绘图模块
MinIO服务器搭建（单机版）
C++ mysqlclient create and insert into tables

原文地址：https://www.cnblogs.com/pangsong/p/12598946.html