CTF刷题记录-Web-[NCTF2019]Fake XML cookbook
来源:
buuctf
题目:
https://github.com/swfangzhang/My-2019NCTF/tree/master/Fake XML cookbook
WP:
抓个包看看:
可看到登陆账号密码用的xml的形式发送,因此可用以下方式xxe读取任意文件:
根据题目修改下:
成功读到内容:
尝试在常见目录读取flag,在根目录成功读取:
flag回显:
flag{0a2e8341-d201-4448-a12d-359602e924a6}
