vulnhub-xxe靶场（XXE漏洞最细攻略）

Meet.meet

已于 2024-07-26 22:09:58 修改

阅读量524

点赞数 19

文章标签：网络安全

于 2024-07-25 20:54:44 首次发布

本文链接：https://blog.csdn.net/2301_76631050/article/details/140699623

版权

一、准备靶场环境：

下载完压缩包（解压）：

导入然后打开虚拟机

二、信息收集：

现在我们需要找到靶场地址，点击虚拟机，然后点击下方设置。看到虚拟机的网络模式为NAT

然后点开编辑中的虚拟网络编辑器，虚拟机NAT模式网段为192.168.222.X

因为靶场网络是随机分配的，我们需要用工具扫描

192.168.222.1 – 192.168.222.255 80端口

找到靶场IP地址为192.168.222.130

发现是默认apache2页面，用工具进行目录扫描：

发现两个目录，index.html是我们刚刚访问的界面，猜测robots.txt是源码泄露双击访问

三、漏洞发现和利用

发现网址后台，再访问：

因为是xxe靶场，于是猜测登录是用xml数据传输，使用随便账号密码bp抓取登录包内容：

发现是xml格式，之前有个admin.php,查看admin.php的源码：于是构造poc：

<!DOCTYPE a [<!ENTITY b SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php"> ]>

这里我们需要进行base64解码，解码得到账号和md5加密后的密码

if ($_POST['username'] == 'administhebest' &&

md5($_POST['password']) == 'e6e061838856bf47e1de730719fb2609')

解码链接：

md5解码链接：https://www.cmd5.com/default.aspx

base64解码链接：https://www.toolhelper.cn/EncodeDecode/Base64

密码解密出为admin@123 账号为administhebest

因为是在admin.php的源码里于是访问admin.php网址：

登陆成功，点击flag发现404错误，但是有新的文件名

于是我们再依靠上面的xxe漏洞查看flagmeout.php的源码：

解base64得

<?php

$flag = "";

echo $flag;

flag全是大写字母和数字，猜测是base32加密：

讲解码后的数据再base64解密发现路径：

发现路径，再次依靠上面的xxe漏洞读取源代码:

base64解码得

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_)