negnegil的博客

这里写目录标题红日安全代码审计——day2源码分析linux下的利用windows下的利用红日安全代码审计——day2原项目地址：https://github.com/hongriSec/PHP-Audit-Labs/blob/master/Part1/Day2/files/README.md本文是对day2课后习题的解题及学习// index.php<?php $url = $_GET['url'];if(isset($url) && filter_var($url,

MongoDB未授权访问漏洞危害MongoDB服务开放在公网上时，若未配置访问认证授权，则攻击者可无需认证即可连接数据库，对数据库进行任何操作（增、删、改、查等高危操作），并造成严重的敏感泄露风险。漏洞成因MongoDB服务安装后，默认未开启权限认证，且服务监听在0.0.0.0.，会造成远程未授权访问漏洞在mongo数据库服务监听在0.0.0.0的情况下，若未在admin数据库中添加任何账号，且未使用–auth参数启动mongoDB服务，则会造成未授权访问（二者缺一不可）。只有添加在admin中添

mongo-expressmongo-express是一个MongoDB的Admin Web管理界面，基于NodeJS、Express、Bootstrap3开源编写漏洞介绍在开启了端口8081后，攻击者可以直接访问，而目标服务器上没有修改默认的登录密码admin/pass,则攻击者可以远程执行node.js代码复现环境mongo-express 0.53.0 MongoDB Version 3.4.24漏洞环境搭建采用github开源docker漏洞环境搭建而成项目地址：https:/

一、简介及靶场搭建简介XXE（XML External Entity Injection）即XML外部实体注入。漏洞是在对非安全的外部实体数据进行处理时引发的安全问题。XXE原理XXE即XML外部实体注入 。我们先分别理解一下注入和外部实体的含义。注入：是指XML数据在传输过程中被修改，导致服务器执行了修改后的恶意代码，从而达到攻击目的。外部实体：则是指攻击者通过利用外部实体声明部分来对XML数据进行修改、插入恶意代码。所以XXE就是指XML数据在传输过程中利用外部实体声明部分的“SYSTEM