小百科,大世界
首页 / 计算机 / IT资讯

Chrome XXE 漏洞 POC实现对访客者本地 繁體


简介

  1. CVE-2023-4357-Chrome-XXE

  2. Chrome XXE 漏洞 POC

  3. 实现对访客者本地文件读取

影响版本

  1. Chrome 版本 < 116.0.5845.96

  2. Chromium 版本 < 116.0.5845.96

  3. Electron 版本 < 26.1.0

复现截图

访问者环境:Linux

访问者环境:Windows

复现1

访问者环境: 

    Linux

    2.下载并运行 Chrome 

      wget /edgedl/chrome/chrome-for-testing/114.0.5735.90/linux64/chrome-linux64.zipunzip chrome-linux64.zip./chrome-linux64/chrome --no-sandbox

      3.启动 Web 服务 

        wget /xcanwin/CVE-2023-4357-Chrome-XXE/zip/refs/heads/main -O CVE-2023-4357-Chrome-XXE.zipunzip CVE-2023-4357-Chrome-XXE.zippython3 -m http.server 8888 -d CVE-2023-4357-Chrome-XXE-main

        4.浏览器访问 

          http://127.0.0.1:8888/c.html

          复现2

          1.访问者环境: 

            Windows

            2.下载并运行 Chrome 

              https:///edgedl/chrome/chrome-for-testing/114.0.5735.90/win64/chrome-win64.zip./chrome-win64/chrome --no-sandbox

              3.启动 Web 服务 

                https:///xcanwin/CVE-2023-4357-Chrome-XXE/zip/refs/heads/mainpython3 -m http.server 8888 -d CVE-2023-4357-Chrome-XXE-main

                4.浏览器访问 

                  http://127.0.0.1:8888/c.html

                  项目地址:

                  /xcanwin/CVE-2023-4357-Chrome-XXE/tree/main

                  感谢您抽出

                  .

                  .

                  来阅读本文

                  点它,分享点赞在看都在这里

                  首页 / 计算机 / IT资讯
                  相关连接:
                  Prev:
                  新华网专访丨百度CTO王海峰理解生成逻辑记忆是人工
                  Chrome内核重大漏洞
                  如何阻止黑客利用iPhone 13窃取三星Gala
                  Next:
                  2CVE2024114777Zip 漏洞允许远程执行代码立即更新
                  1政府 ID 和面部识别 新的网络钓鱼威胁
                  0四校签约六家授牌360携手河南高校再摘网络安全人才培育新果实
                  1微软Meta和司法部瓦解全球网络犯罪和欺诈网络
                  0SaaS 应用程序中 AI Copilot 的安全性可识别有风险的访问权限
                  资源来自网络,仅供参考