Neurohazard
暮雲煙月,皓首窮經;森羅萬象,如是我聞。

oxml xxe 使用方法

wpadmin~March 26, 2019 /InfoSec

oxml xxe 使用方法

搭建建议

http://oxmlxxe.github.io/
https://github.com/BuffaloWill/oxml_xxe

参考 readme.md 对项目进行构建。
建议使用 rvm 切换 ruby 版本。

如果要修改 工具的 网络接口(interface),需要简单修改 server.rb 的代码。
web 服务依赖 Sinatra 实现,在开始处 server.rb 修改为如下内容。

set :protocols, ["http","https","ftp","jar","file","netdoc","mailto","gopher","none"]
set :types, ["docx","pptx","xlsx","svg","odt","xml","odg","odp","ods"]
set :poc_types, ["pdf","jpg","gif"]
set :bind, '0.0.0.0'
set :port, 9494

其他功能

5 历史构造的恶意文件列表
6 展示/解析 OXML 文件 (Display OXML Contents)

另一个 ftp xxe 的利用工具 xxer
https://github.com/TheTwitchy/xxer/blob/master/README.md

参考资料

oxml_xxe, 将 XXE/xml挖掘工具嵌入不同文件的工具
https://www.helplib.com/GitHub/article_127725

Leave a Reply

Your email address will not be published. Required fields are marked *