XXE漏洞1(无限制) XXE特征:在HTTP的Request报文出现一下请求报文,即表明此时是采用XML进行数据传输,就可以测试是否存在XML漏洞. 默认xxe,没有任何限制,可以直接读取flag XXE漏洞2(限制读取flag,etc可正常读取) 读取etc/passwd正常,但是读取flag回显0 使用php://filter伪协议进行读取 读取后进行Base64解密即可 XXE漏洞3(无回显,远程读取) 使用xxe payload进行读取,后端不返回任何数据,这时候需要使用远程加载的方式