今天做了一下XML实体攻击的题目
很明显题目告诉了是XML,那么想到XXE攻击漏洞,首先抓包,发现数据是以XML格式传输,那么可以进行XML实体攻击,构造恶意实体
如图所示
读取/etc/passwd文件
根据经验,网页一般在/var/www/html文件夹,flag在根目录下,读取根目录
得到flag
Alipay
Wechat 最后一次更新于2020-08-09
今天做了一下XML实体攻击的题目
很明显题目告诉了是XML,那么想到XXE攻击漏洞,首先抓包,发现数据是以XML格式传输,那么可以进行XML实体攻击,构造恶意实体
如图所示
读取/etc/passwd文件
根据经验,网页一般在/var/www/html文件夹,flag在根目录下,读取根目录
得到flag
0 条评论