博客
关于我
BUUCTF:[CSAWQual 2019]Web_Unagi -- xxe 简单的外部实体bypass ,编码绕过,
阅读量:398 次
发布时间:2019-03-05

本文共 338 字,大约阅读时间需要 1 分钟。

二、学的的

  1. 这个好像是xxe的那啥,默认技巧吧,,utf8上传说有waf,然后就换成utf16进行上传
  2. 最近做的xxe的题,都是简单的每waf的。外部实体注入就好了,,,
  3. 注意,如果,system的命令 file:///flag。不好使的时候,还可用 PHP的伪协议来做,php://filer/这些来,到时候多试试就好了

三、 WP

看一下iconv命令吧,总不能一个题什么都没学到东西啊,

语句:

iconv -f utf8 -t utf16 test.xml -o aaa.xml

这个语句弄上去,生成的文件上传也好使,

这个也行, 用了 Linux的标准输入输出而已,

iconv -f utf8 -t utf16 2.xml>1.xml

好了, 这两个语法够用了

在这里插入图片描述

转载地址:http://wkgg.baihongyu.com/

你可能感兴趣的文章
MySQL 索引失效的 15 种场景!
查看>>
MySQL 索引深入解析及优化策略
查看>>
MySQL 索引的面试题总结
查看>>
mysql 索引类型以及创建
查看>>
MySQL 索引连环问题,你能答对几个?
查看>>
Mysql 索引问题集锦
查看>>
Mysql 纵表转换为横表
查看>>
mysql 编译安装 window篇
查看>>
mysql 网络目录_联机目录数据库
查看>>
MySQL 聚簇索引&&二级索引&&辅助索引
查看>>
Mysql 脏页 脏读 脏数据
查看>>
mysql 自增id和UUID做主键性能分析,及最优方案
查看>>
Mysql 自定义函数
查看>>
mysql 行转列 列转行
查看>>
Mysql 表分区
查看>>
mysql 表的操作
查看>>
mysql 视图,视图更新删除
查看>>
MySQL 触发器
查看>>
mysql 让所有IP访问数据库
查看>>
mysql 记录的增删改查
查看>>