XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。
它支持大量功能:自动选择进样(运行xcatinjections列表)
检测xpath解析器的版本和功能,并选择最快的检索方法
内置越界HTTP服务器
自动化XXE攻击可以使用OOBHTTP请求大大加快检索速度自定义请求标头和正文
内置REPL外壳,支持:
读取任意文件读取环境变量列出目录上载/下载文件(TM)优化检索
如果可用,对unicode代码点使用二进制搜索回退包括搜索先前首先检索到的常用字符规范化unicode以减少搜索空间
评论