Hello there, ('ω')ノ
まずは、PentesterLabにアクセスして。
https://pentesterlab.com/exercises/web_for_pentester/course
ISOファイルをダウンロードして。
https://pentesterlab.com/exercises/web_for_pentester/attachments
仮想環境を構築して、起動したらIPアドレスを確認して。
IPアドレスにアクセスして。
XML attacksのExample1を選択すると。
リクエスト内容をBurpSuiteで確認して。
下記のXML用ペイロードを。
<!DOCTYPE data [<!ENTITY file SYSTEM "file:///etc/passwd">]><data>&file;</data>
パラメータとして入力すると、うまくいかず。
下記サイトで、パラメータをURLエンコードして。
https://meyerweb.com/eric/tools/dencoder/
再度、実行するとファイルの内容を取得できた。
Best regards, (^^ゞ