XML External Entity attack

XXE漏洞

XML 被设计用来传输和存储数据。

语法规则

 
  
长头发  
大眼睛
可爱的脸庞
可爱美丽的女孩
  

Payload

获取账户密码:



]>

&xxe;

password

获取flag.txt

读取网站任意文件:



]>

&xxe;Any bugs?

AWVS

Reference:
《XXE漏洞利用技巧:从XML到远程代码执行》
《安仔课堂:实战讲解XXE漏洞的利用与防御策略》

*原文地址:https://blog.dyboy.cn/websecurity/65.html

你可能感兴趣的:(XML External Entity attack)