oxml xxe 使用方法
搭建建议
http://oxmlxxe.github.io/
https://github.com/BuffaloWill/oxml_xxe
参考 readme.md
对项目进行构建。
建议使用 rvm 切换 ruby 版本。
如果要修改 工具的 网络接口(interface),需要简单修改 server.rb
的代码。
web 服务依赖 Sinatra 实现,在开始处 server.rb
修改为如下内容。
set :protocols, ["http","https","ftp","jar","file","netdoc","mailto","gopher","none"]
set :types, ["docx","pptx","xlsx","svg","odt","xml","odg","odp","ods"]
set :poc_types, ["pdf","jpg","gif"]
set :bind, '0.0.0.0'
set :port, 9494
其他功能
5 历史构造的恶意文件列表
6 展示/解析 OXML 文件 (Display OXML Contents)
另一个 ftp xxe 的利用工具 xxer
https://github.com/TheTwitchy/xxer/blob/master/README.md
参考资料
oxml_xxe, 将 XXE/xml挖掘工具嵌入不同文件的工具
https://www.helplib.com/GitHub/article_127725
Leave a Reply