目录XXEXXE漏洞演示利用(任意文件读取)Blind OOB XXE 目录浏览和任意文件读取 端口扫描&n...
01月25日912 views评论file
web
【ctfshow】web篇-XXE wp
前言 记录web的题目wp,慢慢变强,铸剑。 XXE做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种...
01月10日60 views评论data
文档
【封神台】漏洞挖掘XXE wp
前言 掌控安全里面的靶场漏洞挖掘XXE实体注入,学习一下! 做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法 XXE基础知识 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数...
01月10日29 views评论data
文档
weblogic之XXE利用与分析
本篇文章漏洞环境使用p神的CVE-2018-2628本机IP:192.168.202.1被攻击主机IP:192.168.202.129一、 xxer工具1.1 简介xxer能快速搭建起xxe的盲注环境...
01月04日98 views评论import
weblogic
渗透测试|利用Blind XXE Getshell(Java网站)
目录Blind XXE读取任意文件Getshell这是一道类似CTF的题目。话不多说访问链接,如下。于是随便输入任意数字,点击Create Account抓包重放,发现是XML提交的格式。于是乎想到了...
12月27日471 views评论java
渗透测试
XXE 注入指南
XXE简介XXE是对应用程序执行的一种攻击,以解析其XML输入。在此攻击中,包含对外部实体的引用的XML输入由配置较弱的XML解析器处理。像跨站点脚本(XSS)中一样,我们尝试类似地注入脚本,在此我们...
09月04日65 views评论xml
服务器
JAVA代码审计的一些Tips(附脚本)
概述 本文重点介绍JAVA安全编码与代码审计基础知识,会以漏洞及安全编码示例的方式介绍JAVA代码中常见Web漏洞的形成及相应的修复方案,同时对一些常见的漏洞函数进行例举。文章最后分享一个自动化查找危...
06月25日719 views评论java
代码审计
5