在webgoat xxe练习(a4)中,通过构造含外部实体的xml请求,使服务端解析后将file:///根目录列表直接渲染到评论区显示;关键需确保dtd声明正确、content-type为application/xml、content-length精确,并使用&root;引用实体。
XXE漏洞怎么在WebGoat里触发显示型回显
WebGoat的XXE练习(A4)本质是“带外回显型”XXE,但实际通关靠的是**服务端解析后直接渲染到页面**,不是盲打。关键点在于:<text></text>标签内容会被原样插入评论区,所以只要让外部实体的内容进到<text></text>里,就能看见。
实操建议:
- 先发一条普通评论(如
cute),用Burp Proxy拦截请求,右键 →Send to Repeater - 观察原始XML结构,确认
<text></text>标签位置——它前面没有被过滤或转义,是注入点 - 把整个请求体替换成带DTD的payload,注意三处必须严格匹配:
SYSTEM协议写法、实体名引用、XML版本声明 - 最终payload长这样:
<?xml version="1.0"?> <!DOCTYPE cat [ <!ENTITY root SYSTEM "file:///"/> ]> <comment><text>&root;</text></comment>
- 别漏掉
&root;里的分号,也别写成&root;——少个&就解析失败
为什么file:///能读到根目录列表但file:///etc/passwd可能报错
因为WebGoat后端用的是Java(JDK 8+),默认禁用了file协议的外部实体解析,但靶场做了降级适配——只允许file:///这种“空路径”触发基础文件系统枚举,而具体文件路径会因JVM安全策略或沙箱限制被拦截。
实操建议:
-
file:///在Linux容器里返回的是根目录下的子目录名(如bin,etc,home),这是通关判定依据 - 想读
/etc/passwd?WebGoat这关不校验那个,强行发会收到java.net.MalformedURLException或空响应 - 如果看到
javax.xml.parsers.FactoryConfigurationError,说明DTD没写对位置,或者/code>前面多了空格/换行
burp repeater里发包总没回显?检查这三件事
不是payload写错了,大概率是HTTP层被拦了——WebGoat对Content-Type和XML格式很敏感。
实操建议:
- 确保
Content-Type头是application/xml或text/xml,不能是application/x-www-form-urlencoded - 删掉所有多余的请求头,比如
X-Requested-With、Accept-Encoding,只留Host、Content-Type、Content-Length -
Content-Length必须精确匹配XML字符串字节数(中文字符按UTF-8算3字节),用Burp的Ctrl+U自动重算,别手填 - 如果Repeater里点
Send后Response是400或空白,看Raw响应头有没有X-WebGoat-Error: XXE parse failed,有就说明XML语法或DTD结构非法
Java XXE防护绕过在靶场里根本不用试
WebGoat这关就是教基础XXE原理,后端压根没开FEATURE_SECURE_PROCESSING,也没用DocumentBuilderFactory.setFeature("http://apache.org/xml/features/disallow-doctype-decl", true)——所以你不需要绕JDK防护,也不用试expect、php://filter这些非Java生态的东西。
实操建议:
- 别浪费时间测
gopher://、http://外带,这关只认file:///回显 - 别在DTD里嵌套
%参数实体,靶场解析器不支持,直接报错 - 实体名别用
xxe或test这种常见名,用root——题干示例里就指定了,改了可能不识别
真正卡住人的地方,往往不是XML语法,而是把<?xml 写成了 xml(中间多空格),或者&root;少输了一个&——这种细节在Repeater里一眼扫过去很容易忽略。
