Komentáře ke článku

Marek. | 109.80.56.*

6.4.2014 5:55

> Entity jsou vlastně to, čemu v běžných programovacích jazycích říkáme proměnné.

Spíš bych napsal konstanty.

> odkážu například na dokument XML schémata od Jiřího Koseka.

Spíš bych napsal Koska.

Shaim

31.3.2014 5:28

Děkuji za článek Romane, mám ho v ToDo listu, snad se k tomu ještě tento rok dostanu :))

.cCuMiNn. |

14.3.2014 16:22

Chápu to tak, že se ti nezobrazuje žádná chyba. Zkusím doplnit pár otázek:

- Pokud uvedeš špatnou cestu, tak ti to nějakou chybu zobrazí? To jen abychom vidělo, že se to snaží ten soubor načíst, a že máš cestu skutečně správně.

- Jaký máš obsah toho souoru file.txt? Nemáš v něm nějaké tagy?

- Když to máš ve stejném adresáři a použiješ:
<!ENTITY entity SYSTEM "file.txt">
tak to ten soubor načte?

- Máš v PHP zapnuté zobrazování chybových hlášek?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.

nenadalm | 88.101.176.*

14.3.2014 8:14

dík za odpověď - při přejmenování adresáře jsem na to zapoměl, ale výsledek je stejný (nefunguje to ani relativně - index.php i file.txt json ve stejném adresáři)

.cCuMiNn. |

13.3.2014 18:10

Jestli to máš přesně tak, jak jsi uvedl zde, tak máš problém v cestě k souboru -> jednou uvádíš "xxe" a podruhé "xee".

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.

nenadalm | 94.74.231.*

13.3.2014 16:06

Zdravím, zkoušel jsem si zobrazit soubor, ale nějak mi to nešlo:

když dám do url browseru: "file:///srv/www/xxe/file.txt" tak vidím obsah souboru

ale když si pak vzpíšu:
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root[
<!ENTITY entity SYSTEM "file:///srv/www/xee/file.txt">
]>
<contacts>
<contact>
<login>karel</login>
<name>&entity;</name>
</contact>
<contact>
<login>jana</login>
<name>Jana Nadherna</name>
</contact>
</contacts>
tak je to jako by name byl "" - php script mám dle příkladu - neví někdo v čem by mohl být problém?

Stránky: 1


	.Infobox Nejnovější: Články: Zabraňte zneužití svých dat Skrytí oprávnění v Androidu (CVE-2019-2089) Studie: Třetina českých e-shopů má bezpečnostní problémy! Aktuality: Pozvánka na OWASP Czech chapter meeting Vyšel Kali Linux 2020.1 Pozvánka na OWASP Czech chapter meeting IT Právo: Jak poslat Email, aby se nejednalo o spam? Konverzace na ICQ jako důkaz. Uveřejnění cizích fotografií Soubory: Phoenix 2.5 Crimeware Exploit Kit Crimepack 3.1.3 BugTrack: SQLi na kacov.cz SQLi www.vetercie.cz RXSS na mall.cz HackForum: Sciolink a pořizování screenshotu obrazovky Dark Web - zkušenosti Detekce HW keyloggeru Další služby: BBC: Supported Tags RSS: RSS Feeds v2.0 IRC: #soom (irc.2600.net) Na SOOM.cz je: Článků: 991 Komentářů: 14 249 Aktualit: 1 861 Souborů: 151 WebForum: 49 235 Hardware: 38 Diskuze: 20 069 BugTrack: 4 412 Reg. uživatelů: 15 653 A proběhlo: Zobraz. článků: 16 907 802 Staženo souborů: 1 341 955 Staženo dat: 862 274 MB Přístupy (hits): 188 759 998

Komentáře ke článku

Hacking keywords