加载中...

XXE漏洞复现

发表于2022-08-29|更新于2022-08-29|漏洞复现

|字数总计:151|阅读时长:1分钟|阅读量:

访问网站发现可能存在XXE漏洞:

1665398720242

使用Burpsuit抓包:

1665398791844

存在回显案例:

构造攻击语句发包,攻击成功且存在回显:

使用file协议成功访问到文件

1665398863584

使用filter协议测试:

1665399067510

使用http协议测试:

1665399194925

不存在回显案例

构造语句发包测试,发包成功但无回显:

1665399323819

先在自身网站创建配合攻击的文件,配置好监听IP与端口:

1665399458511

监听主机开启监听:

1665399565114

构造payload发包攻击

1665399600968

监听主机成功获取到信息:

1665399672195

使用file协议测试:

1665399826092

测试成功:

1665399844796

文章作者: 小余同学

文章链接: http://www.xysafe.tk/2022/08/29/XXE%E5%A4%8D%E7%8E%B0/

版权声明: 本文为小余同学的原创文章，遵循CC 4.0 BY-SA版权协议，转载请附上原文出处链接及本声明。