xxe - 第 10 | CN-SEC 中文网

安全文章

XXE漏洞靶机

上次工作时，碰到个XXE漏洞的验证。恰好今天碰到个这方面的靶机，就练练手，现推荐给大家，了解这个东西，挺广的。这个vulnhub的靶机级别为“简单”的级别；今天第一次用无糖的Http抓包测试工具来做重...

03月10日40 views评论

阅读全文

安全文章

XXE靶机攻防实践

靶机介绍Haboob团队根据https://www.exploit-db.com/docs/45374发表的论文"XML外部实体注入-解释和利用"制作了这个虚拟机以利用私有网络中的漏洞，我们希望你喜欢...

03月10日31 views评论

阅读全文

代码审计

Java实战篇-XXE漏洞利用从潜到深

目标经典渗透场景 - 登录框（授权合法渗透）初步挖掘发现某JSP路径返回包泄露了代码信息，且疑似存在XXE漏洞通过泄露的代码构造出post请求包测试，漏洞存在Poc：<?xml version=...

03月09日91 views评论

阅读全文

安全漏洞

CVE-2024-22024 漏洞（附EXP）

0x01 前言 Ivanti Pulse Connect Secure VPN 存在XXE 漏洞，攻击者可构造恶意请求进而触发XXE，通过该漏洞可以获取服务器权限。0x02 影响平台Ivanti...

03月09日158 views评论

阅读全文

安全文章

VulnHub-XXE靶机渗透测试

免责声明：涉及到的所有技术和工具仅用来学习交流，严禁用于非法用途，未经授权请勿非法渗透，否则产生的一切后果自行承担！简介XML外部实体注入（XML Extenrnal Entity Injection...

03月08日20 views评论

阅读全文

安全漏洞

用友-UFIDA-NC saveDoc.ajax 存在任意文件上传

导读主要分享学习日常中的web渗透，内网渗透、漏洞复现、工具开发相关等。希望以技术共享、交流等不断赋能自己，为网络安全发展贡献自己的微薄之力！ 0x00免责声明本次测试仅供学习使用，如若非法...

03月02日127 views评论

阅读全文

安全漏洞

【漏洞预警】Apache Ambari < 2.7.8 XXE（CVE-2023-50380）

漏洞描述:Apache Ambari 是一个基于 Web 的 Apache Hadoop 集群的供应、管理和监控，2024年，官方披露其存在 CVE-2023-50380 Apache Ambari ...

03月02日92 views评论

阅读全文

安全漏洞

用友U8 Cloud smartweb2.RPC.d xxe漏洞

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！先介绍下什么是XXE漏洞？ ...

03月01日111 views评论

阅读全文

安全漏洞

CVE-2024-22024

免责申明：本文内容为学习笔记分享，仅供技术学习参考，请勿用作违法用途，任何个人和组织利用此文所提供的信息而造成的直接或间接后果和损失，均由使用者本人负责，与作者无关！！！该漏洞EXP已公开传播，漏洞...

02月27日173 views评论

阅读全文

安全漏洞

【新】X远OA从前台XXE到RCE漏洞分析

0x01 前言致远OA是目前国内最流行的OA系统之一，前几年也曾爆出过多个安全漏洞。致远官方一直对修复漏洞的态度十分积极，目前能有效利用的致远漏洞已经很少了。和我们之前分享过的通达OA的漏洞类似，这类...

02月22日175 views评论

阅读全文

安全漏洞

漏洞预警 | Ivanti Pulse Connect Secure VPN XXE漏洞

0x00 漏洞编号CVE-2024-220240x01 危险等级高危0x02 漏洞概述Ivanti ICS&Ivanti Policy Secure 是 Ivanti 公司提供的终端安全和网络...

02月21日37 views评论

阅读全文

安全文章

靶场复现 | vulhub-XXE

01 靶机安装靶机下载地址：https: //download.vulnhub.com/xxe/XXE.zip如上地址直接拿到浏览器上，就可以进行靶机下载，下载后的文件夹如下所示：直接打开虚拟机： ...

02月18日17 views评论

阅读全文