标签: XXE

3 篇文章

[SUCTF 2018]Homework
[SUCTF 2018]Homework 题目分析 先注册账号登陆作业平台。看到一个calc计算器类。有两个按钮,一个用于调用calc类实现两位数的四则运算。另一个用于提交代码。 点击CALC按钮,观察返回的结果和URL 再根据calc类里面的内容,不难判断得知,这里通过module传参去调用calc类,然后剩下3个变量是calc($args1,$…
php://filter的妙用
php://filter的妙用 本文转自P神博客:谈一谈php://filter的妙用 php://filter是PHP中独有的协议,利用这个协议可以创造很多“妙用”。 php://filter php://filter 是一种元封装器, 设计用于数据流打开时的筛选过滤应用。 这对于一体式(all-in-one)的文件函数非常有用,类似 readf…
XXE 总结
XXE 总结 XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。所有的XML文档都由五种简单的构建模块(元素,属性,实体,PCDATA CDATA)构成。实体可在内部或外部进行声明。因此我们利用引入实体,构造恶意内容,从而达到攻击的目的。 危害 任意文…