- 博客(3)
- 收藏
- 关注
RSS订阅原创 XXE(外部实体注入)详解
应用程序在解析XML时没有过滤外部实体的加载,导致加载了恶意的外部文件,造成执行命令、读取文件、扫描内网、攻击内网等危害。 运维人员使用了低版本的php,libxml低于2.9.1或者设置了libxml_disable_entity_loader(False)就可以加载外部实体。将文档类型直接放入XML文档中,称为内部定义。内部定义格式:<!DOMCTYPE 根元素 [元素声明]>DOCTYPE note[ #定义跟根节点。
2024-01-23 16:48:50
2580
1
原创 文件包含漏洞(详解)
能够将其他类型的文件当成php解析。#1、创建一个123.php文件。php?#在可以解析的文件目录下面,访问http://192.168.41.3:180/123.php?2、将phpinfo.php文件修改为phpinfo.txt或其他格式文件。重新访问http://192.168.41.3:180/123.php?filename=phpinfo.txt发现可以正常解析。
2024-01-12 13:47:52
916
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人