因此,我被要求对域执行网络安全测试。我发现了xml注入问题,但是注入发生的文件作为附件发送到了我的电子邮件地址。我想知道是否可以将此问题升级为XXE。因此,这个表格要求输入名字,姓氏和电子邮件地址,在您插入所有详细信息之后,它将向您发送一封电子邮件,其中包含一个XML附件,其中包含您在表格中插入的详细信息。我问自己如何将其转换为xxe。
我试图在名字输入中插入
test</firstname><mycode>xml-injection</mycode><firstname>testtt
它在我收到的附件中以xml格式插入。
我收到的附件包含以下代码:
<?xml version="1.0" encoding="iso-8859-1"?><content>
<firstname>test</firstname><mycode>xml-injection</mycode>
<firstname>testt</firstname>
<lastname>lastname</lastname>
<email>email@testemail.com</email>
</content>
此处的注入点位于
<?xml version="1.0" encoding="iso-8859-1"?><content>
<firstname>$injection_point
我想知道是否有可能将此xml注入升级为正常工作的XXE,并且是否有可能,我可以使用哪种XXE有效载荷进行尝试?
谢谢。