XXE
文章平均质量分 94
XML EXTERNAL ENTITY
仙女象
web安全爱好者
展开
-
WebGoat (A4) XML External Entities (XXE)
第4页这题要求用XXE注入罗列系统根目录。首先在上图的输入框输入个评论,比如cute,按submit提交。到burpsuite的proxy模块找到相关request报文,鼠标右键--send to repeater从上图可见,<text></text>标签之前的内容是会显示在评论区的,因此如果在此处引用外部实体,外部实体的内容也是可以显示在评论区的。在request报文中的xml代码中增加DTD,并在其中定义外部实体root,其内容是"file:///",原创 2021-03-15 21:43:21 · 2229 阅读 · 1 评论 -
pikachu XXE (XML外部实体注入)(皮卡丘漏洞平台通关系列)
一、来自官方的介绍以及来自民间的扩展1、pikachu官方简介2、小女子之前画的脑图3、两个个人感觉不错的博客https://www.freebuf.com/articles/web/177979.htmlhttps://lalajun.github.io/2019/12/03/WEB-XXE/...原创 2021-02-17 16:04:48 · 6187 阅读 · 19 评论