From:http://uknowsec.cn/posts/notes/XML%E5%AE%9E%E4%BD%93%E6%B3%A8%E5%85%A5%E6%BC%8F%E6%B4%9E%E7%9A%...
渗透测试|利用Blind XXE Getshell(Java网站)
目录Blind XXE读取任意文件Getshell这是一道类似CTF的题目。话不多说访问链接,如下。于是随便输入任意数字,点击Create Account抓包重放,发现是XML提交的格式。于是乎想到了...
从几道CTF题学习Blind XXE
更多全球网络安全资讯尽在邑安全 0x00 前言 对于传统的XXE来说,攻击者只有在服务器有回显或报错的情况下才能使用XXE漏洞来读取服务器端文件。例如 <!ENTITY file SYSTEM ...
2