摘要：概述 XXEXXE全称XML External Entity Injection，也就是XML外部实体注入。它是对解析XML输入的应用程序的一种攻击。当配置不当的XML处理器处理包含对外部实体的引用的XML输入时，就会发生此攻击。 XML的作用 XML 被设计用来传输和存储数据，其关注点是数据的内容 阅读全文

摘要：BUUCTF在线评测：https://buuoj.cn Vulhub漏洞环境集合：https://vulhub.org 韩国Webhacking：https://webhacking.kr 重生信息安全在线靶场：https://bc.csxa.cn 网络信息安全攻防学习平台：http://hacki 阅读全文

摘要：做题过程 代码中给出了username和password两列，所以我们就可以不用使用order by 语句 查询所有的库 给出的sql语句可以看出闭合方式是(((((()))))),所以语句为 ?id=-1)))))) union select schema_name,2 from informat 阅读全文

摘要：构造思想 构造一条完整的pop链要有头有尾，头一般是从传参的地方开始并反序列化，尾是可以达到攻击或获取数据的·口子，比如eval,include等可以执行或者包含读取。有了头又有了尾，就要通过魔术方法把它们连接起来。 魔术方法 __construct() 创建对象时触发__destruct() 对象 阅读全文