xxe

Z3r4y7 个月前
笔记·安全·web安全·web·ctf·xxe
【心得】XXE漏洞利用个人笔记XML中关于DTD类型(内部(SYSTEM)的和外部(PUBLIC)的区别)XML Entity 实体注入
kali-Myon7 个月前
xml·开发语言·web安全·xxe·dtd
Pikachu漏洞练习平台之XXE(XML外部实体注入)目录什么是 XML?什么是DTD?什么是XEE?常见payloadXML 指可扩展标记语言(EXtensible Markup Language);
七天啊8 个月前
xxe·hack the box·ssh私钥登录·windows权限问题·计划任务反弹shell
HackTheBox-Starting Point--Tier 2---Markup1.端口扫描2.访问web网站,登录口爆破发现存在弱口令admin:password3.抓包,发现请求体是XML格式
Hillain9 个月前
安全·网络安全·xxe·sql注入·反序列化·rce·伪协议
CTF网络安全题目个人导航【持续更新】[SWPUCTF 2021 新生赛]sql - 联合注入 [SWPUCTF 2021 新生赛]easy_sql - 联合注入||报错注入||sqlmap [NSSRound#1 Basic]sql_by_sql - 二次注入+布尔盲注||sqlmap [NISACTF 2022]join-us - 报错注入&无列名注入 [NISACTF 2022]hardsql - quine注入 [CISCN 2019华北Day2]Web1 - 布尔盲注 [极客大挑战 2019]FinalSQL - 异或盲注
来日可期x9 个月前
安全·web安全·网络安全·系统安全·漏洞·xxe·pikachu
Pikachu靶场——XXE 漏洞可参考我写另一篇文章: XXE 漏洞及案例实战漏洞描述XXE(XML External Entity)攻击是一种利用XML解析器漏洞的攻击。在这种攻击中,攻击者通过在XML文件中插入恶意实体来触发解析器加载恶意代码或文件,从而执行任意代码、读取本地文件等操作。
来日可期x9 个月前
网络·安全·web安全·网络安全·漏洞·xxe
XXE 漏洞及案例实战XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档 类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
Jay 171 年前
xml·web安全·网络安全·php·代码复审·xxe
Ctfshow web入门 XXE 模板注入篇 web373-web378 详细题解 全学习资料: (梭哈~)https://www.cnblogs.com/20175211lyz/p/11413335.html