qq_38352420的博客

XXE漏洞基础学习当WEB服务使用XML或者JSON中的一种进行传输时，服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善，在JSON传输的终端可能会遭受XXE攻击，也就是俗称的XML外部实体攻击。XXE是一种针对XML终端实施的攻击，黑客想要实施这种攻击，需要在XML的payload包含外部实体声明，且服务器本身允许实体扩展。这样的话，黑客或许能读取WEB服务器的文件系统，通过UNC路径访问远程文件系统，或者通过HTTP/HTTPS连接到任意主机。所以学习XXE漏.

title: CVE-2017-8570微软office漏洞复现与研究date: 2019-02-01 23:47:44CVE-2017-8570微软office漏洞复现与研究微软office漏洞背景微软Office系统软件（Word/Excel/PowerPoint等），一直是电脑上最为常用的办公软件之一，在国内外都拥有大量的用户。另一方面，利用Office系列软件的漏洞进行网络攻击已经成为黑客惯用的手段，广泛运用于APT攻击，抓肉鸡，传播勒索病毒等。其中一种典型的攻击方式是“鱼叉攻击”：黑客将.

title: date: 2018-08-10 10:43:51XXE漏洞基础学习当WEB服务使用XML或者JSON中的一种进行传输时，服务器可能会接收开发人员并未预料到的数据格式。如果服务器上的XML解析器的配置不完善，在JSON传输的终端可能会遭受XXE攻击，也就是俗称的XML外部实体攻击。XXE是一种针对XML终端实施的攻击，黑客想要实施这种攻击，需要在XML的payload包含外部实体声明，且服务器本身允许实体扩展。这样的话，黑客或许能读取WEB服务器的文件系统，通过UNC路径.

title: date: 2018-07-28 13:59:351. api调用[题目writerup链接: ](http://grassgrass.top/2017/12/14/XXE%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0%E5%8F%8A%E5%AE%9E%E9%99%85%E5%BA%94%E7%94%A8/#more)2. babyphp题目链接: http://web.jarvisoj.com:32798/当前大量开发人员使用git进行版.

title: JarvisOj平台做题总结(1)date: 2018-07-21 19:37:11[JarvisOj]神盾局的秘密IN A Mess[JarvisOj]神盾局的秘密题目链接:http://web.jarvisoj.com:32768/考察代码审计和文件包含漏洞= =http://web.jarvisoj.com:32768/查看源代码点击进入之后一看长成这样还以为是data伪协议对图片进行base64编码，传了半天事实证明我又想多了= =[外链图片转存失败,源站可.

title: CVE-2017-6089和CVE-2017-6090漏洞复现date: 2018-01-09 00:15:041.1 注入漏洞（CVE-2017-6089）以及文件上传漏洞（CVE-2017-6090）Phpcollab是一款开源的Web系统，可被多个组织用来通过互联网合作完成一个项目。2.1 注入漏洞（CVE-2017-6089）漏洞具体描述漏洞被描述为：在phpcollab 2.5.1以及更早版本中存在SQL注入漏洞，允许远程攻击者执行任意的SQL指令。漏洞存在于3处，to.