PortSwigger
Exploiting XXE using external entities to retrieve files
Exploiting XXE using external entities to retrieve files
- Burp Suite, web uygulama güvenliği üzerine çalışmalar yapan PortSwigger şirketinin geliştirmiş olduğu bir yazılımdır. Web uygulama güvenliği ile ilgilenenlerin en çok tercih ettiği popüler yazılımlardan biridir. Java ile yazılmış olup, her platforma desteği sağlamasıda yazılımın en güzel özelliklerinden biridir. Birçok özelliğe sahip olup içerisinde birçok modül vardır. Burp Suite Enterprise, Burp Suite Professional, Burp Suite Community Sürümleri ile geniş bir kitleye hitap etmektedir.
foxy proxy nedir ?
mozilla firefox için geliştirilmiş tadından yenmez proxy atayıcıdır. bu program sayesinde belirlediğiniz sayfalara belirlediğiniz proxy'leri atayabilir o sayfalar dışında ise doğrudan bağlantıyı sağlayabilirsiniz.
mozilla firefox için geliştirilmiş tadından yenmez proxy atayıcıdır. bu program sayesinde belirlediğiniz sayfalara belirlediğiniz proxy'leri atayabilir o sayfalar dışında ise doğrudan bağlantıyı sağlayabilirsiniz.
burda pek çok lab var ama biz en üst kısımdan lab'ımızı seçiyoruz
Bu sayfaya yönlendirilceksiniz dikdörtgen içine basarak (access the lab) lab'ımıza giriş yapıyoruz
Böyle bir siteye geliceksiniz (gösterilen ürünler değişiklik gösterebilir) burdan herhangi bi ürüne basınız
BURP SUİTE
UYGULAMASI(gerekli ama linuxta geliyor)
FOXYPROXY
EKLENTİSİ(gerekli)
uygulamamıza girip turuncu ile işaretlenmiş alana basıyoruz ve firefoxa dönüp foxyproxy eklentisini açıyoruz
sağ üst kısımda kırmızı ile işaretlenmiş foxyproxy e giriyoruz (foxyproxy sadece firefox ta kullanabilir)
yeşil renkle yazılmış burp a tıklayınız sonra burp a gelip "FORWARD" a basınız
ve karşınıza gelecek ekran
buraya yazılanları sizde aynı yerlere doldurun
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
&xxe;
yazdıktan sonra son ekran gelicek
Bu sayfaya yönlendirilceksiniz dikdörtgen içine basarak (access the lab) lab'ımıza giriş yapıyoruz
Böyle bir siteye geliceksiniz (gösterilen ürünler değişiklik gösterebilir) burdan herhangi bi ürüne basınız
BURP SUİTE
UYGULAMASI(gerekli ama linuxta geliyor)
FOXYPROXY
EKLENTİSİ(gerekli)
uygulamamıza girip turuncu ile işaretlenmiş alana basıyoruz ve firefoxa dönüp foxyproxy eklentisini açıyoruz
sağ üst kısımda kırmızı ile işaretlenmiş foxyproxy e giriyoruz (foxyproxy sadece firefox ta kullanabilir)
yeşil renkle yazılmış burp a tıklayınız sonra burp a gelip "FORWARD" a basınız
ve karşınıza gelecek ekran
buraya yazılanları sizde aynı yerlere doldurun
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
&xxe;
yazdıktan sonra son ekran gelicek
