XML
文章平均质量分 58
XML
bfengj
vegetable web dog
展开
-
[NPUCTF2020]ezlogin
前言突然想起来自己还没做过自己学校去年的比赛,去buuctf上找了去年比赛的几个web,开始做一做,学长们还是tql,出的题目让我学到了很多东西。WP需要login,比较麻烦的就是会老是告诉你超时,需要一直重复获得token。这个似乎是csrf-token。抓包看的话会发现是这个:<username>1</username><password>1</password><token>a638f49e5fcd01e49c1039f0d585原创 2021-04-01 23:33:36 · 583 阅读 · 0 评论 -
[NCTF2019]True XML cookbook
知识点XXE/etc/hostsWP还是熟悉的页面,直接把之前fake那题的payload拿过来,但是读取不了,应该是没有/flag这个文件。又读了一些东西,没什么用,最后直接看了WP。这题是读/etc/hosts来获得内网ip,真的是姿势盲区。。。。可以看到读到的是10.166.138.9,但是直接http访问不到,还要爆破一下。。。最终在10.166.138.11读到了flag:好家伙,学到新姿势了!读关于内网ip的文件还有这些姿势:/etc/hosts/proc/net/a原创 2020-11-21 20:08:20 · 478 阅读 · 0 评论 -
[NCTF2019]Fake XML cookbook 1
知识点XXE(XML外部实体注入)WP关于XML及其相关的注入,看看这篇文章:从XML相关一步一步到XXE漏洞因为这题是最简单的XXE注入,照着文章里的姿势用就可以了。最后payload如下:<?xml version="1.0" ?><!DOCTYPE feng [<!ENTITY file SYSTEM "file:///flag">]><user> <username>&file;</usernam原创 2020-11-17 18:35:31 · 1051 阅读 · 0 评论