设为首页
收藏本站
切换到宽版
登录
立即注册
找回密码
搜索
搜索
本版
帖子
用户
快捷导航
论坛
BBS
VIP用户组
官网群
无名商城论坛
»
论坛
›
资源分享区
›
学习资源专区
›
绕过WAF限制利用php:方法实现OOB-XXE漏洞利用(下) ...
返回列表
发帖
查看:
246
|
回复:
0
[其他技术]
绕过WAF限制利用php:方法实现OOB-XXE漏洞利用(下)
[复制链接]
无名
无名
当前离线
积分
32464
1万
主题
1万
帖子
3万
积分
管理员
积分
32464
发消息
发表于 2022-5-8 17:37:41
|
显示全部楼层
|
阅读模式
当目标应用的XML解析器执行解析时,它会执行以下两个路径的实体解析:
本帖隐藏的内容需要
【资源会员】
才可浏览,您需要升级才可浏览,
点击这里升级【资源会员】
其中的convert.base64-encode是为了能对 index.php 文件内容更方便的获取。所以最终的XXE Payload为:
本帖隐藏的内容需要
【资源会员】
才可浏览,您需要升级才可浏览,
点击这里升级【资源会员】
提交发送之后,来到目标路径
本帖隐藏的内容需要
【资源会员】
才可浏览,您需要升级才可浏览,
点击这里升级【资源会员】
当然,深入利用之后就能用这种方法来读取一些敏感的本地文件了。
iyuji
,
解析
,
利用
,
文件
,
路径
相关帖子
•
【Max】团队考核 不用任何软件设置QQ动态头像
•
【FUT】 IAPP程序首次打开弹窗
•
【FUT】web安全教程-HTML前篇2
•
【FUT】给你的QQ添加音乐插件?还不进来看看!
•
【LUR】自动获取IP和位置的社工系统源码(已取的原作同意哦)
•
【FUT】 Fw写入文本
•
【FUT】iapp上传文件获取直链
•
【LUR】 Amoli私有云 简约而不简单的私有云网盘搭建程序源
•
【源码分享】【D.M.T】超简约在线留言板,无需登陆直接留言!
•
【LUR】利用ep安全码一键登录后台[实用]
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
立即注册
本版积分规则
发表回复
回帖后跳转到最后一页
快速回复
返回顶部
返回列表