达芬奇密码

摘要： 第一步：利用XXE读取配置文件 这里利用了CVE-2019-9670漏洞来读取配置文件，你需要在自己的VPS服务器上放置一个dtd文件，并使该文件能够通过HTTP访问。为了演示，我在GitHub上创建了一个仓库，从GitHub上获取dtd文件。 上图中用红框圈起来的就是zimbra账号的密码，先记下 阅读全文