登入抓包
可以发现数据是以xml格式传入的,登入失败会返回账号,同样是xml格式
而xml格式可以引用外部实体(可以是本地文件)
尝试传入
<?xml version = "1.0" encoding = "utf-8"?> ]>&file;zhangwei666
题目没啥意思,主要记录下xxe的脚本