问题描述
我的 XML:
<?xml version="1.0"?>
<!DOCTYPE Input [
<!ELEMENT Input ANY >
<!ENTITY xxe SYstem "file:///c:/test.txt" >]>
<ExecutionParameters>
<Inputs>
<Input Name="Input1" Value="VALUE_OF_XXE"></Input>
</Inputs>
</ExecutionParameters>
我想将 xxe(test.txt 文件的内容)传递给 VALUE_OF_XXE。
解决方法
您不能从 XML 属性值引用外部实体;这是不允许:
<Input Name="Input1" Value="&xxe;"></Input>
替代方案
-
从元素值引用外部实体:
<Input Name="Input1" Value="">&xxe;</Input> -
从属性值引用一个内部实体:
<!ENTITY xie "Some text here" >]>