2021-08-24 网安实验-Web渗透测试之DoraBox(XXE攻击)

SSRF：漏洞检测及通过file协议读取任意文件

file协议读取任意文件，输入file:///c:/windows/win.ini：

XXE：漏洞检测，利用漏洞进行任意文件读取及端口探测

检测XML是否会被成功解析，在网页的【账户】和【密码】处随便输入信息，点击【登录】同时用burpsuite抓取数据包：

在【Repeater】中修改数据并提交：

在响应信息中输出了‘xml’，说明xml文件可以被解析。

检测服务器是否支持DTD引用外部

文章来源: codeboy.blog.csdn.net，作者：愚公搬代码，版权归原作者所有，如需转载，请联系作者。

原文链接：codeboy.blog.csdn.net/article/details/119891419