XXE
XXE
W小哥1
微信公众号:W小哥
展开
-
PHP-XXE-Lab——漏洞利用
一、环境搭建环境源码下载地址:https://github.com/c0ny1/xxe-lab下载后,php_xxe放在网站根目录即可运行二、漏洞利用访问目标网站,如下图所示输入用户名、密码后,使用burpsuite拦截数据包,仔细观察传输数据的部分,跟大多数传输数据方式不一样大多数传递方式,是下面这两种所以,如果在渗透测试过程中,发现POST数据传递方式是adminpassword则说明,网站是采用的XML语言接收的数据,此处可能存在XXE漏洞接下来,利用XXE漏洞读取敏感文件原创 2020-12-22 18:18:43 · 1811 阅读 · 0 评论 -
XXE(pikachu)
什么是XML?XML 文件是 XML(可扩展标记语言)数据文件。它的格式与.HTML 文档非常相似,但使用自定义标记来定义对象和每个对象中的数据。XML 文件可以被认为是基于文本的数据库。XML 类似于 HTML。XML 和 HTML 都包含 用于描述页面或文件内容的标记符号。但是,HTML 仅描述了网页的内容(主要是文本和图形图像)的显示和交互方式。例如,放置在标记标记内的字母“p”将开始一...原创 2020-01-16 08:50:25 · 587 阅读 · 0 评论