资源介绍
XCat
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。
有关完整的参考,请阅读此处的文档: :
它支持大量功能:
自动选择注射(运行xcat injections以获得列表)
检测xpath解析器的版本和功能,并选择最快的检索方法
内置越界HTTP服务器
自动化XXE攻击
可以使用OOB HTTP请求大大加快检索速度
自定义请求标头和正文
内置REPL外壳,支持:
读取任意文件
读取环境变量
列出目录
上载/下载文件(TM)
优化检索
如果可用,对unicode代码点使用二进制搜索
回退包括搜索先前首先检索到的常见字符
规范化unicode以减少搜索空间
安装
运行pip install xcat
或使用docker run -it tomforbes/xcat --help
或在fedora上dnf install xcat :smiling_face_with_sunglasses:
需要Python