11 2022 档案
摘要:【XXE实战】——浅看两道CTF题 上一条帖子【XXE漏洞】原理及实践演示 对XXE的一些原理进行了浅析,于是写了两道CTF题巩固一下,顺便也记录一下第一次写出来CTF。两道题都是在BUU上找的:[NCTF2019]Fake XML cookbook和[NCTF2019]True XML cookb
阅读全文
摘要:一、原理 XML是用于传输和存储数据的一种格式,相当于一种信息传输工具,其中包含了XML声明,DTD文档类型定义、文档元素。 XXE是xml外部实体注入漏洞,发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。 二
阅读全文
摘要:PHP反序列化 一、原理 序列化就是将对象转化成字符串,反序列化相反。数据的格式转换和对象的序列化有利于对象的保存 。 **反序列化漏洞:**就是php对数据进行反序列化时,没有进行过滤,导致用户可以控制反序列化的内容,调用一些默认的魔术方法,进行SQL注入等攻击。 序列化函数:serialize(
阅读全文
摘要:【文件包含】学习 关于文件包含漏洞的简略学习 一、引例 首先使用php搭建一个网站,网站目录及包含文件如下: 直接url中访问info.txt: 只能看到info.txt的内容,是phpinfo()函数。 查看test.php内容: 使用GET方法传进了filename,然后使用include方法进
阅读全文
