문제 설명: One of your customer all proud of his new platform asked you to audit it. To show him that you can get information on his server, he did a file “flag.txt” at the server’s root. 문제 풀이 문제 사이트로 접속하면 업로드 한 모든 뉴스를 확인하려면 “뉴스” 섹션으로 가라는 메시지가 있다. Show stored data 페이지에 접속해보았다. Show stored data 탭을 클릭하면 뉴스 내용이 보이고 “data.xml” 파일을 읽어 내용을 불러오는 것을 알 수 있다. "data.xml" 대신 "test" 문자열을 입력하면 오류가 표시되는데 file_get_contents 함수로 파일을 읽어오고 loadXML 함수로 XML을 로드한다. file_get_content 함수의 경우 file_get_content("http://hacke r...
원문링크 : TJCTF XXExternalXX (XXE)
네이버 블로그
티스토리
커뮤니티