xxe 第2页

DNSLog漏洞探测(七)之SQL注入漏洞实战

DNSLog漏洞探测(七)之SQL注入漏洞实战在前面的文章之中，我们已经学习了XSS、RCE、XXE、SSRF漏洞中有关于DNSLog平台的使用。

千负·2023-12-15 19:38

Apache solr XXE 漏洞（CVE-2017-12629）

任务一：复现环境中的漏洞任务二：利用XXE漏洞发送HTTP请求，在VPS服务器端接受请求，或收到DNS记录任务三：利用XXE漏洞读取本地的/etc/passwd文件1.搭建环境2.开始看wp的时候没有看懂为什么是

22的卡卡·2023-12-04 06:06

【心得】XXE漏洞利用个人笔记

XML中关于DTD类型(内部(SYSTEM)的和外部(PUBLIC)的区别)xxe的利用XMLEntity实体注入当程序处理xml文件时，没有禁止对外部实体的处理，容易造成xxe漏洞危害主流是任意文件读取

Z3r4y·2023-11-27 12:29

WEB漏洞——XXE&XML

先上小迪的思维导图概念XML：传输和存储数据格式类型XXE：XML外部实体注入漏洞（XMLExternalEntityInjection）XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载

恩大·2023-11-26 06:34

XML External Entity attack

XXE漏洞XML被设计用来传输和存储数据。

DYBOY·2023-11-26 06:46

java最新漏洞_JavaMelody XXE漏洞(CVE-2018-15531)分析

近日发布了1.74.0版本，修复了一个XXE漏洞，漏洞编号CVE-2018-15531。攻击者利用漏洞，可以读取JavaMelody服务器上的敏感信息。0x02漏洞分析漏洞修复的commi

月夜棹孤舟·2023-11-25 00:40

CVE-2018-3246 weblogic xxe

使用P牛2018-2894的容器http://192.168.245.130:7001/ws_utc/begin.do导入测试用例上传时抓取数据包POST/ws_utc/resources/ws/config/import?timestamp=1566895391388HTTP/1.1Host:192.168.245.130:7001Content-Length:215Cache-Control:

ddr12231·2023-11-25 00:07

【CVE-2023-4357】Chrome-XXE 任意文件读取漏洞复现及原理解析

官方文档https://bugs.chromium.org/p/chromium/issues/detail?id=1458911漏洞描述Shortdescription:LibxsltisthedefaultXSLlibraryusedinWebKitbasedbrowserssuchaschrome,safarietc.Libxsltallowsexternalentitiesinsidedo

◣NSD◥·2023-11-25 00:35

[Vulhub] PHP环境 XML外部实体注入漏洞（XXE）

0x00预备知识XXE是什么？

yAnd0n9·2023-11-20 02:44

Pikachu9_XXE(外部实体注入)

漏洞原理漏洞危害漏洞防御代码分析漏洞复现漏洞原理概括一下就是"攻击者通过向服务器注入指定的xml实体内容,从而让服务器按照指定的配置进行执行,导致问题"，也就是说服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入。漏洞危害1.任意文件读取漏洞测试2.探测内网端口和网站3.攻击内网网站4.执行系统命令漏洞防御1.检查所使用的底层XML解析库，默认禁止外部实

Revenge_scan·2023-11-19 15:34

XEE漏洞学习(史上最详细包括Linux配置漏洞环境)

XXE基础概念1、xml基础概念XXE漏洞全称XMLExternalEntityInjection即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件和代码

qwetvg·2023-11-19 15:28

XXE漏洞原理及防御方式。

简单了解1.1xml声明1.2文档类型定义1.3文档元素1.4代码详解2.DTD两种使用方式2.1内部声明2.2外部声明3.DTD实体3.1内部实体声明引用3.2外部实体声明引用3.3参数实体声明引用4.XXE

糊涂是福yyyy·2023-11-19 15:24

Pikachu漏洞练习平台之XXE（XML外部实体注入）

目录什么是XML？什么是DTD？什么是XEE？常见payload什么是XML？XML指可扩展标记语言（EXtensibleMarkupLanguage）；XML不会做任何事情，而是用来结构化、存储以及传输信息；XML标签没有被预定义，需要我们自行定义标签。XML总体由元素组成，元素可以额外附加属性，需要提前定义，元素中可以引用实体。XML中的5个预定义实体引用：<&&""&

Myon⁶·2023-11-19 15:22

HackTheBox-Starting Point--Tier 2---Markup

1.1打点 1.端口扫描nmap-A-Pn-sC10.129.95.192 2.访问web网站，登录口爆破发现存在弱口令admin：password 3.抓包，发现请求体是XML格式 4.尝试使用XXE

七天啊·2023-11-17 12:58

NSSCTF第12页（2）

[CSAWQual2019]Unagi是xxe注入，等找时间会专门去学一下XML外部实体（XXE）注入-知乎【精选】XML注入学习-CSDN博客【精选】XML注入_xml注入例子-CSDN博客题目描述说

呕...·2023-11-17 06:23

浅谈php原生类的利用 2(Error&SoapClient&SimpleXMLElement)

除了上篇文章浅谈php原生类的利用1(文件操作类)_phpspl原生类_葫芦娃42的博客-CSDN博客里提到的原生利用文件操作类读文件的功能，在CTF题目中，还可以利用php原生类来进行XSS,反序列化，SSRF，XXE

葫芦娃42·2023-11-13 09:31

Vulnhub靶机：HACKER KID_ 1.0.1

目录介绍信息收集主机发现主机信息探测53端口网站探测页面源代码DIG信息收集经典XXE漏洞探测9999端口SSTI模板注入Capabilities提权发现具有Capabilities特殊操作权限的程序准备注入注入成功总结参考介绍系列

lainwith·2023-11-11 00:42

XXE XML外部实体注入

XXE外部实体注入一,简介XXE（XMLExternalEntityInjection）是一种XML注入攻击，它利用了XML解析器在处理XML文档时存在的漏洞。

DeltaTime·2023-11-10 21:51

【新】致远OA从前台XXE到RCE漏洞分析

今天跟大家分享一个通过组合漏洞方式来对致远OA进行RCE的案例，整个利用过程分成多个步骤，应该算是XXE漏洞的典型深入应用场景。在今年8月的某攻

盛邦安全·2023-11-09 07:41

OWASP TOP10系列之#TOP4# A4-XML 外部实体 (XXE)

OWASPTOP10系列之#TOP4#A4-XML外部实体(XXE)文章目录OWASPTOP10系列之#TOP4#A4-XML外部实体(XXE)前言一、XXE是什么？

仗剑浪迹天涯丶·2023-11-07 18:24

web渗透测试----29、OWASP TOP 10----2017版

文章目录1、注入2、身份验证和会话管理中断3、敏感数据暴露4、XML外部实体注入(XXE)5、访问控制缺陷6、安全配置错误7、

七天啊·2023-11-07 18:54

OWASP top 10 （2017）学习笔记--XML外部实体（XXE）

A4:2017-XML外部实体(XXE)漏洞描述：如果攻击者可以上传XML文档或者在XML文档中添加恶意内容，通过易受攻击的代码、依赖项或集成，他们就能够攻击含有缺陷的XML处理器。

weixin_30474613·2023-11-07 18:54

小白必看!OWASP top 10详解

今天来学习一下什么是OWASPtop10目录今天来学习一下什么是OWASPtop10A1注入injectionA2失效的身份认证A3敏感数据泄露A4XML外部实体(XXE)A5失效的访问控制A6安全配置错误

渗透小剑客·2023-11-07 18:23

OWASP TOP10（2017）之【XML 外部实体（XXE）】

目录XML以及XXE漏洞介绍实战利用XXE漏洞读取文件（有回显）①读取.ext文件②读取php文件利用XXE漏洞读取文件（无回显）XXE防御策略XXE漏洞消亡原因XXE漏洞防御XML以及XXE漏洞介绍XML

GINTOKIKAWAI·2023-11-07 18:52

OWASP TOP 10-XML外部实体（XXE）

XML外部实体注入简称XXE漏洞：XML用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言

sec0nd_·2023-11-07 18:18

渗透测试-安全服务体系+OWASP top 10

安全服务体系+OWASP介绍注入injection危害常见的注入如何防范失效的身份认证敏感数据泄露XML外部实体(XXE)失效的访问控制安全配置错误跨站脚本（xss）不安全的反序列化使用含有已知漏洞的组件不足的日志记录和监控内容敏感数据泄漏方面

amingMM·2023-11-07 11:30

Xray+awvs联动扫描

xray开启监听xray_windows_amd64.exewebscan--listen127.0.0.1:7777--html-outputxray-xxx.html--pluginssqldet,xxe

只为了拿0day·2023-11-06 10:17

读书日|2018.4.22

‘’https://mp.weixin.qq.com/s/XXE9Ndy89h-AzQzciNQhjg

仓鼠Betsy·2023-11-04 16:20

【网络安全】JAVA代码审计—— XXE外部实体注入

一、WEB安全部分想要了解XXE，在那之前需要了解XML的相关基础二、XML基础2.1XML语法1.所有的XML元素都必须有一个关闭标签2.XML标签对大小写敏感3.XML必须正确嵌套4.XML文档必须有根元素

教IT的无语强·2023-11-04 10:43

pikache靶场通关——XXE

文章目录前言一、有返回显示XXE1、在输入框输入随机数据，抓包2、在BP数据包和靶场中各尝试使用正确的XML格式重新输入3、使用BP进行URL编码，利用XXE来读取系统文件二、无回显XXE1、模拟使用的机器

p36273·2023-11-04 10:11

网络安全进阶学习第二十一课——XXE

文章目录一、XXE简介二、XXE原理三、XXE危害四、XXE如何寻找五、XXE限制条件六、XXE分类七、XXE利用1、读取任意文件1.1、有回显1.2、没有回显2、命令执行`（情况相对较少见）`3、内网探测

p36273·2023-11-04 10:05

SQL注入总结

：Oracle数据库比较特殊，没有报错函数，但是有明显的dual特征:无回显的注入（盲注），数据库类型快速确定：Oracle：Microsoft：PostgreSQL：MySQL：如果都不可以，则尝试XXE

渗透测试老鸟-九青·2023-11-02 02:27

XML External Entity-XXE-XML实体注入

XML实体？XML实体允许定义标签，在解析XML文档时这些标签将被内容替换。一般来说，实体分为三种类型：内部实体外部实体参数实体。必须在文档类型定义（DTD）中创建实体一旦XML文档被解析器处理，它将js用定义的常量“JoSmith”替换定义的实体。正如您所看到的，这有很多优点，因为您可以js在一个地方更改为例如“JohnSmith”。在Java应用程序中，XML可用于从客户端获取数据到服务器，我

测试开发-东方不败之鸭梨·2023-11-01 20:40

Apache2-XXE漏洞渗透

文章目录前言一、nmap扫描二、利用获取的信息三、XXE漏洞利用总结前言Apache2UbuntuDefaultPage是一个包含xxe漏洞的页面，如何找到和利用xxe漏洞，并找到flag呢？

一纸-荒芜·2023-10-31 18:20

2020-04-15jboss反序列化漏洞、weblogic 、XXE原理利用防御

jboss反序列化漏洞还原获取webshell首先运行jboss打开jboss/bin运行利用java反序列利用工具，输入目标地址、然后上传木马上传打开木马记事本，找到密码登录登录Weblogic反序列化漏洞还原启动weblogicstartweblogic.cmd运行利用工具反序列化漏洞weblogic任意文件上传漏洞操作（CVE-2018-2894）端口后面加/ws_utc/config.do

寻找tp·2023-10-31 03:22

x友GRP-u8 注入-RCE漏洞复现

用友GRP-u8注入-RCE漏洞复现一、漏洞简介用友GRP-u8存在XXE漏洞，该漏洞源于应用程序解析XML输入时没有进制外部实体的加载，导致可加载恶意外部文件。

thelostworld-公众号·2023-10-30 20:14

用友GRP-u8 注入-RCE漏洞复现

用友GRP-u8注入-RCE漏洞复现（HW第一时间复现了，当时觉得不合适，现在才发出来）一、漏洞简介用友GRP-u8存在XXE漏洞，该漏洞源于应用程序解析XML输入时没有进制外部实体的加载，导致可加载恶意外部文件

thelostworld-公众号·2023-10-30 20:13

SSRF漏洞、SQL注入、CSRF漏洞、XXE漏洞

SSRF漏洞1.我理解的定义：攻击者将伪造的服务器请求发给一个用户，用户接受后，攻击者利用该安全漏洞获得该用户的相关信息2.原理：3.场景：（1）分享（2）转码（3）翻译（4）图片加载、下载（5）图片、文章收藏（6）未公开的API4.UPL关键字：share、wap、url、link、srcsource、target3g、display、sourceURL、u、imageURL、domain5.常

Fly_Mojito·2023-10-29 23:56

buuctf_练[CSAWQual 2019]Web_Unagi

[CSAWQual2019]Web_Unagi文章目录[CSAWQual2019]Web_Unagi掌握知识解题思路关键payload掌握知识XXE漏洞利用，xml文件转换编码绕过WAF(UTF-8--

生而逢时·2023-10-26 16:16

JAVA代码审计与安全编码

XXE介绍XML文档结构包括XML声明、DTD文档类型定义（可选）、文档元素。文档类型定义(DTD)的作用是定义XML文档的合法构建模块。DTD可以在XML文档内声明，也可以外部引用。

mingzhi61·2023-10-25 05:58

[转载]kali awvs安装

AWVS能够针对SQL注入、XSS、XXE、SSRF、主机头注入以及4500多个其他web漏洞执行精确的测试，并通过内置的

安哥拉的赞礼·2023-10-23 15:09

跨平台API调用解决方案

野子电竞数据官网改版https://www.xxe.io/全新登场如何在egret中调用微信API呢，摸索出两种思路，分别是官方解决方案自己区分平台选择处理用的代码官方解决方案：官方解决方案简单提一下：

crooked8·2023-10-22 19:23

Web渗透测试---Web TOP 10 漏洞

文章目录前言一、注入漏洞二、跨站脚本（xss)漏洞三、文件上传漏洞四、文件包含漏洞五、命令执行漏洞六、代码执行漏洞七、XML外部实体（XXE）漏洞八、反序列化漏洞九、SSRF漏洞十、解析漏洞前言常见的漏洞有注入漏洞

Destiny,635·2023-10-22 07:35

39 WEB漏洞-XXE&XML之利用检测绕过全解

目录涉及案例pikachu靶场xml数据传输测试-回显、玩法、协议、引入玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)玩法-RCE引入外部实体dtd无回显-读取文件协议-读文件（绕过）xxe-lab

山兔1·2023-10-21 14:18

XXE漏洞详解

XXE漏洞详解1.XXE解释2.XML解释2.1xml文档格式2.2DTD实体2.2.1内部实体：2.2.2外部实体：2.2.3一般实体：2.2.4参数实体：3.XXE漏洞利用4.xxe漏洞防御1.XXE

制冷少年的成长日记·2023-10-13 13:00

XXE漏洞小结

xxe漏洞：XXE漏洞全称XMLExternalEntityInjection，即xml外部实体注入漏洞，XXE漏洞发生在应用程序解析XML输入时，没有禁止外部实体的加载，导致可加载恶意外部文件，造成文件读取

Wolven_Security·2023-10-13 13:00

java xxe漏洞利用_XXE漏洞攻防原理

方便永远是安全的敌人你的知识面，决定你的攻击面1简述XXE(XMLExternalEntity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。

孔祥康·2023-10-13 13:29

XXE漏洞利用

XXE(XML外部实体注入)漏洞介绍漏洞复现漏洞防御漏洞介绍XXE(XMLExternalEntityInjection)也就是XML外部实体注入，XXE漏洞发生在应用程序解析XML输入时，XML文件的解析依赖

carefree798·2023-10-13 13:29

XXE漏洞挖掘和防护

永远是少年啊·2023-10-13 13:28

windows文件读取 xxe_XXE漏洞浅析

XXE漏洞浅析来自于公众号：计算机与网络安全一次性付费进群，长期免费索取教程，没有付费教程。

weixin_39808726·2023-10-13 13:57

推荐频道

xxe