当前位置: 首页 > article >正文

jarvisoj API调用 [JSON格式变XXE]

article 2025/4/1 16:32:23

 http://web.jarvisoj.com:9882/ 

题目要求:请设法获得目标机器 /home/ctf/flag.txt 中的flag值

抓包得到:

POST /api/v1.0/try HTTP/1.1
Host: web.jarvisoj.com:9882
Content-Length: 36
Accept-Language: zh-CN,zh;q=0.9
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/134.0.0.0 Safari/537.36   
标志客户端的类型和版本,这里是模仿Chorme浏览器
Content-Type: application/json
Accept: */*                               客户端能够接受的响应类型为任意
Origin: http://web.jarvisoj.com:9882      
Referer: http://web.jarvisoj.com:9882/    由哪个界面发起 
Accept-Encoding: gzip, deflate, br
Connection: keep-alive

{"search":"type sth!","value":"own"}
//为JSON格式的数据

发现这是JSON格式的数据

学习了个很新的姿势:可以把JSON数据改成XML格式,再进行XXE注入

注意需要把Content-Type修改成/xml


http://www.kler.cn/a/623503.html

相关文章:

  • 什么是 JavaScript 中的原型链(Prototype Chain)?
  • yum install 报错(CentOS换源):
  • 05-02-自考数据结构(20331)- 动态查找-知识点
  • 赛逸展2025年重磅回归,科技盛宴再启新篇
  • 计算机求职面试中高频出现的经典题目分类整理
  • Canvas实现旋转太极八卦图
  • S32K144的SDK库中两种时钟初始化的区别(一)
  • 注意力蒸馏技术
  • 数据结构--二叉树--其一
  • 五重涅槃·量子篇:混沌工程破虚空,九阳真火铸金身
  • WPF InkCanvas 控件详解
  • Spring Boot自动配置原理解析
  • python实现股票数据可视化
  • 《Python实战进阶》No36: 使用 Hugging Face 构建 NLP 模型
  • 基于 GEE 利用 Landsat4、5、7、8、9 数据计算 MNDWI 指数实现 1990—2024 年研究区水体变化分析
  • Spring Boot 3.4.3 基于 Caffeine 实现本地缓存
  • Linux基础指令(一)
  • golang 的io与os包中的常用方法
  • VITA 模型解读,实时交互式多模态大模型的 pioneering 之作
  • HarmonyOs学习 实验六:tabs标签与Swiper轮播图页面设计