[NCTF2019]Fake XML cookbook-1|XXE漏洞|XXE信息介绍

1、打开之后显示如图所示：

2、根据题目名字就能看出来和xml有关，和xml有关的那就是注入，brup抓包看下数据包，结果如下：

3、查看post数据，确实很像xml实体注入，那就进行尝试以下，将post数据修改为下面的数据

<?xml version="1.0" ?>

]>

	&file;
	1

成功获得flag值，结果如下：

xml信息介绍：

xml：主要用于数据的传输，而非数据的展示。

xml中<?xml version="1.0" encoding="UTF-8" standalone="yes"?>，用于声明XML文档的版本和编码，是可选的，必须放在文档开头，其中standalone的值是yes的时候，表示外部实体被禁用，但默认是no。

dtd：主要用于xml文档的格式规范，引入方式：内部引入：，外部引入：，使用外部的dtd文件(网络上的dtd文件)：。

xml预定义的实体：用< > & ' " 替换 < > & ' "字符。

xml实体介绍如下：

参考文章：https://xz.aliyun.com/t/6887#toc-0