摘要： 实战篇——XXE漏洞pikachu靶场实战 XXE的原理 如果服务器未显式地禁用XML外部实体引用，攻击者就可以通过构造恶意的XML文档，实现文件读取、命令执行等攻击。 XXE有回显利用 构造XML文档实现文件读取： 对参数进行url编码后执行： XXE无回显利用 无回显时需要使用外带通道，将文件读 阅读全文