目录:
一、XML基础知识:
一般会了 基础知识 2 中的那几个exp 简单题就差不多了
这个就离谱。直接xxe全部学完了,学精通了,,暂时不用看这个,,
https://xz.aliyun.com/t/3357#toc-22
二、应用场景:
一般在读取本地文件的时候,可能会用有xxe。
三、例题:
1. buu的[NCTF2019]Fake XML cookbook
直接抓包,
这个,,明显的过分了啊,
然后xxe实体注入
找flag的话,猜猜在那里吧,
2. buu的[NCTF2019]True XML cookbook
一样的也面,只不过这次是利用xxe进行内网扫描
扫描二维码关注公众号,回复:
13126062 查看本文章
然后会爆出flag的端口,然后访问就有了
3. jarvisoj的API调用
我不知道它为什么叫这个名字。链接:
sql
xss
什么的都试过了,,,没用
这个Content-Type要改成xml的啊
又不知道去哪里找flag了,我吐了啊,,,
网上说在这里,,,
3.这两个题的小结:
简单,就是套用个xxe内部实体的调用就是了,但是 flag在 哪里 这着实是一个问题啊,,,
而且这是最基本的,那种xxe。有回显,没有过滤的
还有blind的xxe之类的。还没有学习呢