728x90
반응형
문제를 보면 XXE Injection을 통해 Filesystem의 root directory를 리스팅하라고 한다.
<!DOCTYPE> 태그를 이용해서 EXTERNAL ENTITY를 만들어 LFI(Local File Inclusion) Attack이 가능하다.
프록시를 이용해 Request를 조작하여 요청하면 root directory의 내용들이 출력되는 것을 확인할 수 있다.
728x90
반응형
'모의해킹 > 웹해킹' 카테고리의 다른 글
| [Web Hacking] WebGoat Blind XXE 개념 (0) | 2020.03.23 |
|---|---|
| [Web Hacking] WebGoat XXE Modern REST framework 문제풀이 (0) | 2020.03.23 |
| [Web Hacking] XML 외부개체(XXE Injection) (0) | 2020.03.22 |
| [Web Hacking] WebGoat SQL Injection(mitigation) 문제풀이 (0) | 2020.02.25 |
| [Web Hacking] WebGoat SQL Injection(advanced) 5 문제풀이 (0) | 2020.02.24 |