首页
Python
Java
前端
数据库
Linux
Chatgpt专题
开发者工具箱
unagi专题
[CSAWQual 2019]Web_Unagi
知识点:xxe外部实体注入和绕过waf 告诉我们要传一个xml文件,并且相应的样式信息也出来了。 flag在/flag下 构造xml <?xml version='1.0'?><!DOCTYPE users [<!ENTITY xxe SYSTEM "file:///flag" >]><users><user><username>gg</username><password>pas
阅读更多...
[CSAWQual 2019]Web_Unagi - 文件上传+XXE注入(XML编码绕过)
[CSAWQual 2019]Web_Unagi 1 解题流程1.1 分析1.2 解题 2 思考总结 1 解题流程 这篇博客讲了xml进行编码转换绕过的原理:https://www.shawroot.cc/156.html 1.1 分析 页面可以上传,上传一句话php失败,点击示例发现是xml格式,那么就是XXE注入了 点击about得到flag位置: Flag is l
阅读更多...
[CSAWQual 2019]Web_Unagi - 文件上传+XXE注入(XML编码绕过)
[CSAWQual 2019]Web_Unagi 1 解题流程1.1 分析1.2 解题 2 思考总结 1 解题流程 这篇博客讲了xml进行编码转换绕过的原理:https://www.shawroot.cc/156.html 1.1 分析 页面可以上传,上传一句话php失败,点击示例发现是xml格式,那么就是XXE注入了 点击about得到flag位置: Flag is l
阅读更多...