XXE

概述 XXE（XML External Entity Injection）全称为XML 外部实体注⼊。 XXE 漏洞 是指攻击者构造恶意的 XML 数据，通过注入“外部实体”，从而达到 读取本地文件、发起 SSRF 请求、甚至 远程代码执行（RCE） 的目的。 ...

靶场地址 https://download.vulnhub.com/xxe/XXE.zip VM启动之后就是一个shell登陆界面，这里靶场没给账号密码，也不知道地址，这里用同NAT的虚拟机寻找一下IP地址存活 这里 .140是本机 .148就是我们要的XXE主机 同时发现了80端口 访问一下 发现一个 Apache2 初始界面 扫一下目录发现一个 /robots.txt 找到目录 /xxe /xxe/admin.php ...