第四十四題——[NCTF2019]Fake XML cookbook

題目位址：https://buuoj.cn/challenges

解題思路

第一步：進入題目，發現頁面是一個登入框，通過題目的XML提示，是使用XML注入漏洞

第二步：随便輸入賬号密碼，使用burpsuite抓包，發現XML資料

第三步：使用XML引用外部實體讀取檔案

1. 建構XML語句，由于是讀取文檔，是以使用note

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY XXE SYSTEM "file:///檔案名" >]>
<name>&XXE;</name>
           

1. 在使用者名輸入admin，密碼随便，送出後使用burpsuite抓包後改包，将xml語句添加上去擷取flag