xsl | CN-SEC 中文网

一些常见的XXE payload整理

目录常见利用有回显无回显进阶利用基于Local-dtd文件的XXE对payload进行UTF7编码xincludeXSLT 最近遇到一些没有见过的xxe利用方式，就和之前的内容一起整理了一下。常见...

12月24日安全博客7 views评论

阅读全文

安全文章

千变万化的WebShell

第一节 CMS获取WebShell1.1、什么是CMS？CMS是Content Management System的缩写，意为"内容管理系统"。内容管理系统是企业信息化建设和电子政务的新宠，也是一个相...

11月14日8 views评论

阅读全文

安全漏洞

CNVD-2023-34111 RCE漏洞（附EXP）

0x00 前言在一次外部渗透测试中，我偶然发现了一个可见的 Solr 管理面板。我专注于这个特定的应用程序来测试隐藏在下面的东西。（Solr的主页）Apache Solr 的版本是...

11月10日56 views评论

阅读全文

安全漏洞

CVE-2023-46214 漏洞复现 poc exp

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！01—漏洞名称Splunk E...

07月09日100 views评论

阅读全文

安全文章

CVE-2024-36522 猜想

注：以下内容非绝对准确，仅供参考。‍‍‍‍‍‍‍‍‍复现测试测试代码‍‍package org.apache.wicket;import org.apache.wicket.util.file.Fil...

06月07日107 views评论

阅读全文

安全文章

XML 相关漏洞风险研究

前言经常看到有关 XXE 的漏洞分析，大概知道原理，但是对 XML 中相关的定义却一知半解。XEE 全称为 XML External Entity 即 XML 外部实体，但除了常见的 EXP 还有哪些...

06月03日19 views评论

阅读全文

安全文章

使用 ChatGPT 在 Web 浏览器中获取 XXE

一年前，我想知道禁用了 JavaScript 的恶意页面会做什么。我知道 SVG 基于 XML，而且 XML 本身可能很复杂，并且允许文件访问。同源策略 (SOP) 是否对所有可能的 XML 和 SV...

05月23日30 views评论

阅读全文

安全漏洞

CVE-2022-47966 SAML RCE

简介SAML（安全断言标记语言）和 OIDC（OpenID Connect）是两个主要的SSO（单点登录）标准。OIDC使用率更广SAML主要用于企业组织对员工的身份验证。SAML依靠XMLSigna...

05月19日26 views评论

阅读全文

安全文章

『红蓝对抗』无文件落地攻击手法

点击蓝字关注我们日期：2024年04月19日作者：hdsec介绍：总结几种 windows 中常见的无文件落地攻击手法，实际应用中还需结合免杀处理。0x00 前言无文件落地攻击（Fileless A...

04月19日41 views评论

阅读全文

ATT&CK -

XSL 脚本处理可扩展样式表语言 (XSL) 文件通常用于描述 XML 文件中的数据处理和渲染方式。为了支持复杂的操作，XSL 标准包括对各种语言的嵌入式脚本的支持。攻击者可能会滥用此功能来执行...

04月15日ATTACK7 views评论

阅读全文

安全新闻

【核弹级漏洞预警】苹x果、微x、支x宝、小x浏览器、携x应用等均存在任意文件读取漏洞

一、漏洞描述漏洞描述:Google Chrome 是 Google 公司开发的网页浏览器,Web Audio 是用于在浏览器中进行音频处理和合成的 API,Google Chrome 121.0.61...

02月29日57 views评论

阅读全文

安全文章

XSLT服务器端注入（附靶场）

何为XSLT XSLT是一种基于XML的语言，用于将XML文档转换成其他格式的文档，如HTML、纯文本或其他类型的XML。它通过定义一系列的转换规则来实现这一过程。XSLT的强大之处在于它能够处理复杂...

02月20日107 views评论

阅读全文

一些常见的XXE payload整理

千变万化的WebShell

CNVD-2023-34111 RCE漏洞（附EXP）

CVE-2023-46214 漏洞复现 poc exp

CVE-2024-36522 猜想

XML 相关漏洞风险研究

使用 ChatGPT 在 Web 浏览器中获取 XXE

CVE-2022-47966 SAML RCE

『红蓝对抗』无文件落地攻击手法

ATT&CK -

【核弹级漏洞预警】苹x果、微x、支x宝、小x浏览器、携x应用等均存在任意文件读取漏洞

XSLT服务器端注入（附靶场）

在线咨询

微信