CTF中關於XXE XML外部實體注入 題目兩道

2022-04-11 20:03:23 字數 1568 閱讀 8123

題目:unctf-do you like xml?hint:weak password (弱密碼)

2、根據題目hint 嘗試登陸 賬號密碼統一admin 提示登陸成功  bp發現為xxe (xml外部實體注入)

3、構造一下xxe 進行base64解密 得到flag

解密結果如下:

<?php 

$flag="flag";

?>

題目:jarvis-api呼叫hint:請設法獲得目標機器/home/ctf/flag.txt中的flag值

1、檢視源**:

function

send()

};xhr.send('');

}

上bp發現這段**也只是向後台傳送資料報而已,回顯的資訊能看到是用python/2.7.6寫的 其他沒啥資訊

附:xml(extensible markup language)擴充套件標記語言。用來描述資料。xml中標記是自定義,它使用dtd或者schema來描述資料。

總結:xml用來組織,儲存和傳送資訊的。

1、xml和html的區別:

xml 重點:描述和存放資料。

html 重點:如何把資料更好的現實在頁面上。

2、xml的標記分類:

單標記《標記名稱 />

雙標記《標記名稱》....

CTF比賽中關於zip的總結

參考 這種方法大概是zip中最常見的,多用於在一張中隱藏乙個壓縮包,這種方法的原理是 以jpg格式的為例,乙個完整的 jpg 檔案由 ff d8 開頭,ff d9結尾,瀏覽器會忽略 ff d9 以後的內容,因此可以在 jpg 檔案中加入其他檔案。如 sites wwwroot hexdump use...

關於在bcb中呼叫外部程式的用法

1 用system 執行 簡單,像在cmd命令列一樣 2 用winexec 執行 3 用createprocess執行 4 用shellexecute執行.1 winexec 函式原型 uint winexec lpcstr lpcmdline,uint ucmdshow 引數說明 啟用的意思是能接...

Oracle中幾個關於日期方面的SQL例項

1 取得當前日期是本月的第幾周 sql select to char sysdate,yyyymmdd w hh24 mi ss from dual to char sysdate,yy 20030327 4 18 16 09 sql select to char sysdate,w from du...