当前位置: 首页 > news >正文

BUUCTF Basic 解题记录--BUU XXE COURSE

news 2025/6/29 9:12:30

1、XXE漏洞

初步学习,可参考链接:

一篇文章带你深入理解漏洞之 XXE 漏洞 - 先知社区

2、了解了XXE漏洞,用burpsuite获取到的url转发给repeater,修改XML的信息,引入外部实体漏洞,修改发送内容,即可查看到flag信息

定义admin的外部实体,里面的命令是 SYSTEM "file:///flag" 查看flag文件的信息

http://www.lryc.cn/news/184982.html

相关文章:

  • kotlin:LogKit
  • yolo_tracking中osnet不支持.pth格式,而model_zoo中仅有.pth
  • Tailwind CSS浅析与实操
  • Activiti工作流引擎详解与应用
  • New Journal of Physics:不同机器学习力场特征的准确性测试
  • ubuntu22.04 x11窗口环境手势控制
  • 【ARM CoreLink 系列 4 -- NIC-400 控制器详细介绍】
  • 【生成模型】解决生成模型面对长尾类型物体时的问题 RE-IMAGEN: RETRIEVAL-AUGMENTED TEXT-TO-IMAGE GENERATOR
  • 南美巴西市场最全分析开发攻略,收藏一篇就够了
  • c++中操作符->与 . 的使用与区别
  • golang 编译器 汉化
  • 压缩包系列
  • 互联网图片安全风控实战训练营开营!
  • 炫酷转换:Java实现Excel转换为图片的方法
  • vue elementui <el-date-picker>日期选择框限制只能选择90天内的日期(包括今天)
  • YOLOv5全新Neck改进:BiSPAN 结构独一无二,为目标检测打造全新融合网络,增强定位信号,对于小目标检测的定位具有重要意义
  • flutter开发实战-video_player插件播放抖音直播实现(仅限Android端)
  • React组件
  • [动手学深度学习]注意力机制Transformer学习笔记
  • hadoop集群安装并配置
  • Quarto 入门教程 (3):代码框、图形、数据框设置
  • 虚拟机Ubuntu18.04安装对应ROS版本详细教程!(含错误提示解决)
  • #力扣:14. 最长公共前缀@FDDLC
  • Android 13.0 解锁状态下禁止下拉状态栏功能实现
  • chromium线程模型(1)-普通线程实现(ui和io线程)
  • uniapp uni.showToast 一闪而过的问题
  • 代理模式介绍及具体实现(设计模式 三)
  • 【18】c++设计模式——>适配器模式
  • mariadb 错误日志中报错:Incorrect definition of table mysql.column_stats:
  • 【SpringBoot】多环境配置和启动