V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
babyrjw
V2EX  ›  问与答

有没有 XXE 检测工具呢?

  •  
  •   babyrjw · 2019-03-05 12:40:06 +08:00 · 1611 次点击
    这是一个创建于 2114 天前的主题,其中的信息可能已经有所发展或是发生改变。

    由于微信支付的 XXE 漏洞未及时修复,TX 关了我的微信支付 API 接口。修复后花了无数精力,终于联系上 TX 的人工客服,表示我的漏洞还没我有修复。 但是微信支付后台-》安全医生 检测没有发现异常。快要被折腾死了,有没有 XXE 漏洞的检测工具呢? TX 这个烂东西,能不能坚决不用

    3 条回复    2019-03-05 13:10:21 +08:00
    WordTian
        1
    WordTian  
       2019-03-05 12:53:20 +08:00 via Android
    XXE 有两种
    一种是有回显的,那种好检测,也比较容易写出工具,去 gayhub 上找找吧

    一种是没回显的,需要一台外网主机配合检测。因为执行的命令本身无回显,一般是执行访问外网主机的命令,然后能过访问记录判断命令是否成功执行,这种工具不好写,应该没有这种工具
    babyrjw
        2
    babyrjw  
    OP
       2019-03-05 13:04:17 +08:00
    @WordTian 多谢指教,我找找看有没有无回显的这种 payload
    javashell
        3
    javashell  
       2019-03-05 13:10:21 +08:00 via Android
    无回显的可用 burp collaborator client 测试
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3606 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 04:21 · PVG 12:21 · LAX 20:21 · JFK 23:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.