qq_62046696的博客

原理：有回显的情况可以直接在页面中看到Payload的执行结果或现象，无回显的情况又称为blind xxe，可以使用外带数据通道提取数据，先使用php://filter获取目标文件的内容，然后将内容以http请求发送到接受数据的服务器。最后发包，%remote先调用，vps上的 dtd文件，然后%int调用读取文件，最后send把读取后的发送到远程vps上，样就实现了外带数据的效果，完美的解决了 XXE 无回显的问题。普通的xml二者对比，改变不多也就是

直接修改会报错，所以我们现在需要密钥secret，到这里没什么提示了，dirsearch扫一下发现了robots.txt，首先想了一下如果做一个脚本一直点击work不就好了吗，但是又想了一下服务器响应太快也不行，如果设置sleep那时间太长了。SECRET不为空所以需要传入一个值，这个预定义字符的作用是将匹配之后的字符进行返回。发现了很长的一段代码，呃呃呃没见过的样子，百度发现是Ruby的语法。发现了里面三段中间用.链接，妥妥的jwt形式，然后换一个思路，burp抓包看了一下，改完之后发现还是不对。

因为这是python中的flask模板界面，所以我们自然而然地可以想到用ssti模板注入。这里应该是进行了rc4的加密，解密密钥是HereIsTreasure。打开界面，这种要么让我们访问Secret页面，要么传参Secret。这里记得大小写的Secret都要尝试，然后让我们传参一个secret。以前碰到过这样进行输入源码，打算用脚本爆破，试一个比较大的值。需要一个rc4加密脚本，从网上搜一个。