shikata ga nai

Private? There is no such things.

2021-02-28から1日間の記事一覧

Unprotected admin functionalityをやってみた

Hello there, ('ω')ノ 保護されていない管理機能を。 まずは、robots.txtの存在の確認を。 https://ac041f381f409dac80771fe0003000a0.web-security-academy.net/robots.txt Disallowで指定されたファイルやディレクトリはクロールがブロックされるので。 下…

Exploiting XXE using external entities to retrieve filesをやってみた

Hello there, ('ω')ノ 外部エンティティを使用してXXEを悪用してファイルを取得を。 Check stockをクリックして。 履歴からxmlを見つけてリピータへ。 下記のペイロードを追加して、Sendすると。 ]> &xxe; クリアできた。 たとえば、脆弱性診断ガイドライン…

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain