定义： XXE注入，即XML External Entity，XML外部实体注入。通过 XML 实体，”SYSTEM”关键词导致 XML 解析器可以从本地文件或者远程 URI 中读取数据。所以攻击者可以通过 XML 实体传递自己构造的恶意值，使处理程序解析它。当引用外部实体时，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口、攻击内…

信息收集 arp-scan -l 得到192.168.160.132 nmap -A 192.168.160.132 只有80能打开 打开是一个登录界面 可以用wappalyzer看到cms为Drupal 7 于是找一下Drupal的漏洞 利用msf 进入msf msfconsole 搜索drupal的漏洞 search drupal 漏洞攻击 利…

信息收集 arp-scan -l 得到192.168.160.131 之前都是用nmap -A 来扫192.168.160.131 但是这里只能扫到80端口 于是换个专门扫端口的命令 nmap -sV -p- 192.168.160.131 -sV 参数使 Nmap 尝试确定每个开放端口上运行的具体服务及其版本 -p- 参数告诉 Nmap 在扫描时…