Metasploitable2虛擬系統是一個特別制作的Ubuntu操作系統，主要用於安全工具測試和演示常見的漏洞攻擊。 在如下地址下載 Metasploitable2 https://jaist.dl.sourceforge.net/project/metasploitable ...

目錄： 前言 漏洞原理 Demo演示 如何發現XXE漏洞 XXE其他危害 案例-微信支付的XXE 修復建議 前言： 什么是XXE漏洞？ XXE全稱是——XML External Entity 簡單來說，XXE就是XML外部實體注入。當應 ...

0x01概述 XXE（外部實體注入）是XML注入的一種，普通的XML注入利用面比較狹窄，如果有的話也是邏輯類漏洞。XXE擴大了攻擊面。 當允許引用外部實體時，就可能導致任意文件讀取、系統命令執行、內網端口探測、攻擊內網網站等危害。 防御方法：禁用外部實體（PHP ...

本文轉自行雲博客https://www.xy586.top/ 文章目錄 摘要 前提需要 原理 漏洞利用 摘要 什么是永恆之藍 永恆之藍（Eternal Blue）爆發於2017年4月14日晚，是一種利用 ...

一、文件包含漏洞的原理 　　服務器解析執行php文件時能夠通過包含函數加載另外一個文件中的php代碼，當被包含的文件中存在木馬時，也就意味着木馬程序會在服務器上加載執行。下面介紹php的四種文件包含函數。 require() 只要程序一運行就包含文件 ...

的，只要攻擊者有足夠強大的計算能力和時間，所以斷定一個系統是否存在暴力破解漏洞，其條件也不是絕對的。 我們說一個 ...

本文首發於“合天智匯”公眾號，作者：threepwn 0x01 前言 和我一樣，有一些計算機專業的同學可能一直都在不停地碼代碼，卻很少關注程序是怎么執行的，也不會考慮到自己寫的代碼是否會存在棧溢出漏洞，借此機會我們一起走進棧溢出。 0x02 程序 ...

Struts2漏洞利用原理及OGNL機制研究 概述 在MVC開發框架中，數據會在MVC各個模塊中進行流轉。而這種流轉，也就會面臨一些困境，就是由於數據在不同MVC層次中表現出不同的形式和狀態而造成的： View層—表現為字符串展示 數據在頁面上是一個扁平的、不帶數據類型的字符串 ...