XXE-Lab for PHP

环境配置

1.将靶场进行下载....

https://github.com/c0ny1/xxe-lab

2.将PHPStudy的中间件与版本信息调制为php-5.4.45+Apache访问以下地址开始练习...

http://127.0.0.1/xxelabs/php_xxe/

XXE-Lab for PHP_第1张图片

靶场实操

1.在登录界面输入账号密码并抓取数据包....

XXE-Lab for PHP_第2张图片

2.尝试读取本地文件....


]>
&fl;asdf

XXE-Lab for PHP_第3张图片

3.使用PHP伪协议读取文件....


]>
&fl;asdf

XXE-Lab for PHP_第4张图片

4.探测内网存活主机与端口...


]>
&fl;asdf

XXE-Lab for PHP_第5张图片

漏洞修复

  1. 使用开发语言禁用外部实体;
  2. 过滤SYSTEM/PUBLIC等关键字;
  3. 升级 libxml 组件

你可能感兴趣的:(漏洞复现,php,开发语言,服务器,网络,web安全)