2020网鼎杯---Java文件上传wp

💡 原文中文,约500字,阅读约需2分钟。
📝

内容提要

本文讨论了Java文件上传中的XXE漏洞。攻击者通过修改Excel文件的内容类型和结构,能够上传恶意文件并获取服务器信息。具体步骤包括创建特定格式的Excel文件并查看服务器记录。

🎯

关键要点

  • 攻击者通过修改Excel文件的内容类型和结构,能够上传恶意文件。

  • 创建特定格式的Excel文件并将其打包为zip格式后,修改文件后缀为xlsx。

  • 在XML文件中插入特定的DOCTYPE和ENTITY,以获取服务器信息。

  • 上传恶意文件后,可以查看服务器的HTTP记录以获取敏感信息。

🏷️

标签

➡️

继续阅读