XXE外部实体攻击，首先，xml能引用实体，内部和外部。这是出问题的根本：有SYSTEM和PUBLIC两个关键字，表示实体来自本地计算机还是公共计算机，外部实体的引用可以借助各种协议，不同的语言支持的协议不同攻击者强制利用XML的某个敏感局域，如system这样的词汇，攻击者利用它，让XML解析器，强制在url上面读取外部内容，强制替换掉原有内容，从而导致攻击行为 题中出现的：<!

XML笔记本这个笔记可以不写，社区几乎没人写，但率真，纯洁的我，一定要写，这就是我，李小丑。它很像html，但它不显示，它单纯的传输数据，是一个不显示的数据库，它能自我描述，xml是个纯文本，不会做任何事情，（这里它打了自己耳光，后面可以xpath验证登录。）因此存在了注入，如post万能密码 <?xml version="1.0" encoding=&quot

反序列化漏洞笔记还是整体思路，不知道我总结的咋样哈：这道题的答案就是，我们要打开读取网站上一个flag.php文件，打开它，当然需要满足打开它的条件，就要看源码，这道题隔路在于，利用源码制作脚本，生成某些“东西”在能传参的位置替换掉，原有代码。从而实现目的。我们先来撸一遍代码：我急眼了。一行一行撸，第一行说，1flag在flag里面，我知道2创建一个类名字叫读取我，真是个惊天地泣鬼神的好名字3类里

本地文件包含和远程文件包含我并不清楚，拿到后台数据库，为啥不直接在根目录上面写个一句话的php。理论上是行的通的。首先，在数据库里面，建个库，库里面建个表，表上面的字段上面写一句话，表文件名字随意，是个frm后缀文件，这个不要怕，包含进php之后就会当php执行了。剩下的部分就是：如何包含。用seay工具审计下靶场源码，搜索include()内容，index.php 文件中有一处包含的文件名，是从

黑龙江省mou网络科技公司 所面试的公司：大庆mou科技有限公司（培训机构）薪资待遇：10K+所在城市：黑龙江面试职位：网络安全讲师面试过程：       亲爱的掌控家人们，此面试非彼面试，我是第四期新生，经验——直播课一节，录播课五节，做此分享，仅以身试水，揭开面试盖头，敲开技巧婚门。此次尝试大获全胜，若非名草有主，不仅找到工作，还找到爱情……接

<!doctypehtml><html><head><meta charset="utf-8"><title>第一个前段html页面</title></head><body><h1>自我介绍</h1><p>我是9yue20ri，是一名高中老师，想要