shikata ga nai

Private? There is no such things.

2021-03-04から1日間の記事一覧

Exploiting blind XXE to exfiltrate data using a malicious external DTDをやってみた

Hello there, ('ω')ノ ブラインドXXEを悪用して、悪意のある外部DTDを使用してデータを盗み出すを。 これまでリクエストに書き込んでいたDTDを外出しというわけで。 Check stockをクリックして。 XMLのリクエストをリピータへ。 その後、コラボレータを起動…

Blind XXE with out-of-band interaction via XML parameter entitiesをやってみた

Hello there, ('ω')ノ XMLパラメータエンティティを介した帯域外相互作用を伴うブラインドXXEを。 予期しない値は表示されず、外部エンティティをはブロックされるとのことで。 なので、パラメータエンティティを使用する必要があるらしく。 ここでエンティ…

Blind XXE with out-of-band interactionをやってみた

Hello there, ('ω')ノ 帯域外インタラクションを伴うブラインドXXEを。 XML入力を解析するが、結果を表示しない「在庫確認」機能がありらしく。 今回は、 外部ドメインとの帯域外相互作用をトリガーすることで。 ブラインドXXEの脆弱性を検出できるようで。 …

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain