用户
搜索
  • TA的每日心情
    慵懒
    5 小时前
  • 签到天数: 702 天

    连续签到: 20 天

    [LV.9]以坛为家II

    i春秋-核心白帽

    Rank: 4

    12

    主题

    471

    帖子

    1万

    魔法币
    收听
    2
    粉丝
    3
    注册时间
    2017-8-17
    发表于 2020-1-3 10:43:21 01820
    本帖最后由 琴心丶剑胆 于 2020-1-3 10:43 编辑

    XXE
    01.png
    本课简介

          这一课会讲解XXE漏洞的原理,怎么利用的,还有如何防御的一些知识

    关卡-03

          这一关需要通过XXE漏洞列举出文件系统的根目录才能过关
    02.png
    03.png
    04.png
    05.png

          这边有一个坑,如果C盘,根目录下有中文的文件,webgoat就一直会抛出异常,所以目录中一定不能有中文文件,否则会一直抛exception,至于为什么会抛出异常,为什么Windows下users目录看起来是中文,但路径却是英文的,这个就不清楚具体原因(主要还是因为我又懒又菜)
    06.png

    关卡-04

          这一关的目标也是需要通过XXE漏洞列举出文件系统的根目录才能过关
    07.png
    08.png
    09.png
    10.png


    关卡-07

          这一关需要通过XXE漏洞将secret.txt文件的内容读取出来,这一关需要用到webwolf,所以需要吧webwolf也启动起来
    11.png 12.png
    13.png
    14.png
    15.png
    16.png
    17.png

          当初不了解xxe漏洞的原理和利用,后面看了这两篇文章,感觉学到了许多:
    https://xz.aliyun.com/t/3357#toc-2
    https://blog.csdn.net/weixin_39997829/article/details/79654861








    本帖被以下淘专辑推荐:

    发新帖
    您需要登录后才可以回帖 登录 | 立即注册