[渗透测试学习靶机06] vulnhub 靶场 XXE Lab 1

最新推荐文章于 2024-06-21 15:55:50 发布
最新推荐文章于 2024-06-21 15:55:50 发布
阅读量582 收藏 3
点赞数
分类专栏: 渗透测试 vulnhub靶机 文章标签: 学习 安全 网络安全 测试工具 xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47112073/article/details/127344225
版权

Kali的IP地址:192.168.127.139​​​​​​​ 

靶机的IP地址:192.168.127.130

网上看到了好多xxe靶机通关的文章,但是没人写为什么可以实现文件读取,为什么是XXE漏洞,我在这里简单写一下,一来方便自己以后看,二来对还没有接触过xxe漏洞的朋友来说也比较友好

目录

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

1.3、访问端口

1.4、扫描目录

二、漏洞挖掘

三、漏洞利用

总结:

一、信息搜集

1.1、扫描主机口

1.2、扫描端口

发现开放了俩个端口,一个80(http),一个5355端口(llmnr),所以我们访问80端口

1.3、访问端口

访问web服务发现为apache默认页面,猜测存在隐藏目录

1.4、扫描目录

扫到一个robots.txt文件

接着我们访问 http://192.168.127.130/robots.txt 发现是一个/xxe/目录,有个后台页面

接着访问XXE目录 http://192.168.127.130/xxe/

xxe登录框,弱密码尝试失败。直接burp抓包看看

可以看到用户名密码是通过xml传递给后端的

二、漏洞挖掘

首先我们要知道,xml是具有存储功能的,而且当我们输入一个错误的用户名的时候,错误信息就会在name标签那里展现出来,如下图:

这是为什么呢?这里就涉及到xml的特性了,我们先来看看xml的文本结构:

第一个:

<?xml version="1.0" encoding="UTF-8"?>

这部分是xml声明

第二个:

  <!DOCTYPE  文件名 [

  <!ENTITY实体名 "实体内容">

  ]>

这部分是xml的定义文档类型的DTD

第三个:

<元素名称 category=“属性”>
文本或其他元素
</元素名称>

这部分是文档元素

这三块上下连在一起就构成了xml文本的整体结构。

这里的漏洞就出现在DTD中,在xml中,可以在DTD中定义应用外部DTD以供xml来解析,其本意是为了方便在各个文档中创建共享的公共引用(这一点与文件包含比较相似)。而且,在引用外部实体之后,xml会自动将引用的外部实体内容体现在xml正文中(注意正文中引用的test的格式一定要写对,前面&后面;)。如果我们可以随意修改引用的外部实体,就有可能造成任意文件读取。

例如:

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY test SYSTEM "file:///etc/passwd">

]>

<name>&test;</name>

上面的代码中,xml外部实体test被赋值为/etc/passwd,跟文章上面说的一样,xml读取的时候会直接将被读取的/etc/passwd内容显示在页面上

要注意在name标签里面的格式一定要正确,前面加&后面加; 而且都要注意是英文。

知道了上述思路之后,再看burp拦截出来的包就很简单了:

直接写一段xml通过报错读到/etc/passwd

三、漏洞利用

我们尝试构造xmlpayload

直接构造外部实体注入的payload修改post体,读取/etc/password/目录下的内容,发现能读出来,证明肯定存在xxe漏洞

<?xml version="1.0" encoding="UTF-8"?>


<!DOCTYPE r [


<!ELEMENT r ANY >


<!ENTITY admin SYSTEM "file:///etc/passwd">


]>


<root><name>&admin;</name><password>1</password></root>

前面还有个admin.php没有看到,可以读一下php的源码
php://filter/read=convert.base64-encode/resource=admin.php来获取base64编码之后的网页源码

<?xml version="1.0" encoding="UTF-8"?>


<!DOCTYPE r [


<!ELEMENT r ANY >


<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">


]>


<root><name>&admin;</name><password>admin</password></root>

返回包进行了加密,无法直接找到flag,我们直接bpdecode模块解密(非常好用)

base64解码:找到用户名密码

 用户名:administhebest  密码:e6e061838856bf47e1de730719fb2609

编码之后密码显示MD5继续解码:

获得密码:admin@123

登录xxe那个登录框不行

继续登录/xxe/admin.php的登录框,输入用户名密码回车之后出现了一个flag按钮

点击flag,很高兴,但是发现什么也没有

但是刚才的思路,我们是可以读取它的源码的,直接读取flag文件的源码,可以继续读flagmeoutPHP页面,去base64解密后,发现文件源码明文内容  

看到出现一串base64加密的字符,继续在decoder模块中解密

这又是一段base32加密的,在线base32解密:

JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5

又是一串base64加密的

L2V0Yy8uZmxhZy5waHA=

是一个路径

打开这个路径

继续base64解密后

返回出来的结果很熟悉,是php变形的webshell,但是这个webshell没有添加php头。

要想知道文件内容也很简单,浏览器可以访问并识别php文件,linux也自带php识别功能,也可以直接找在线运行网站,但是要记着写这个php文件的时候要添加<?php ?>

我们找个PHP在线运行的网站试试

https://code.y444.cn/php

成功拿到flag

总结:

首先xxexml外部实体注入漏洞,可通过进入外部实体进行攻击,例如读取敏感文件,扫描端口等等,实战中感觉出现几率不是很大

大风呼呼的
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[内网渗透]XXE-vulnhub
leekos的博客,分享web安全相关知识~
07-20 270
其实这个xxe靶场也不难,就一下常规步骤,之前没有写wp,以后要多总结,多写wp才能更好的复习。
vulnhub——XXE练习
怪味巧克力的博客
04-22 591
今天写一个关于vulnhub上的关于XXE漏洞利用的一个靶场练习 0x01 首先肯定得先下载啊,这里我就不多说了,自己到vulnhub官网下载即可(百度搜官网),然后进去后搜索XXE,下载第一个。解压,安装,靶场布置完成。 0x02 首先我们发现,靶机开启以后是要登录,但是本题并没有给我们登录的账号和密码,所以,别想着去登录了(哈哈哈),那怎么办? 你可能会有疑问,我连靶场IP地址都不知道! 那...
实战项目 2 Linux-XXE 靶场渗透测试案例详解
最新发布
m0_50572593的博客
06-21 1092
XXE(xml external entity injection) 既"xml 外部实体注入漏洞"。概括一下就是"攻击者通过向服务器注入指定的 xml 实体内容,从而让服务器按照指定的配置进行执行,导致问题“也就是说服务端接收和解析了来自用户端的 xml 数据,而又没有做严格的安全控制,从而导致 xml 外部实体注入。造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起 dos 攻击等危害。
XXE——针对站点渗透
m0_65544268的博客
07-26 398
对JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5先进行base32解码在进行base64解码得到。可以扫描到80端口是开放的,使用的中间件是Apache,以及网站根目录下有哪些文件。同时我们还可以发现flag存在于/flagmeout.php文件中。密码做了一个md5加密,尝试对密码进行md5的解密。输入账号:admin,密码:123,进行抓包。5)访问/etc/.flag.php文件。1)准备我们的bp抓包工具进行抓包。将得到的数据进行base64转码。3)访问admin.php文件。
记一次Vulnhub-XXE靶场全过程(详细)
DoNotShyDoIt的博客
12-22 337
Vulnhub-XXE靶场全过程
vulnhubXXE靶机详解
天天学安全专属博客
03-20 716
vulnhubXXE靶机详解
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE靶场中,我们可以模拟实际场景进行练习,例如在vulnhubXXE Lab:1靶场中,首先识别靶机IP,使用工具如nmap扫描开放端口,然后通过目录遍历(如`robots.txt`)和Burp Suite抓包分析,确定XML数据传输。...
Vulnhub靶机渗透测试 Five-1靶机
12-07
Vulnhub靶机渗透测试 Five-1靶机
Vulnhub靶机渗透测试 DC-8靶机
12-07
Vulnhub靶机渗透测试 DC-8靶机
Vulnhub靶机渗透测试 DC-3靶机
12-07
Vulnhub靶机渗透测试 DC-3靶机
Vulnhub靶机渗透测试 DC-7靶机
12-07
Vulnhub靶机渗透测试 DC-7靶机
vulnhub-XXE靶机渗透
banacyo14206的博客
08-24 384
靶机: 下载链接:https://download.vulnhub.com/xxe/XXE.zip XXE注入工具下载: https://download.csdn.net/download/weixin_41082546/11609927 CTFCrackTools解码工具: https://download.csdn.net/download/weixin_410825...
vulnhub XXE靶场复现
weixin_44914783的博客
09-19 1443
信息收集 (1)如图,为环境搭建好之后的状态,暂时什么都未知 (2)使用nmap工具对网段进行扫描,获取到xxe平台的IP和端口开放情况,可以判断出该平台IP为192.168.159.223 (3)进行验证,成功 (4)使用kali工具dirsearch对网站进行目录扫描,发现敏感文件robots.txt (5)访问192.168.159.223/robots.txt,再次发现两个敏感文件,依次访问 ...
OWASP TOP 10(七)XXE漏洞(XML基本语法、DTD(声明类型、数据类型、实体)、XXE漏洞原理、PHP相关函数、XML注入读取文件、漏洞防御)
Pluto.的博客
12-27 730
文章目录XML学习一、XML概述1. 简述2. XML和HTML的区别二、基本语法规则三、DTD1. 概述2. 声明类型- 内部的 DOCTYPE 声明- 外部文档声明3. 数据类型- PCDATA- CDATA4. 实体- 内部实体声明- 外部实体声明四、XEE1. 漏洞原理2. PHP相关函数- file_get_contents()- php://input- simplexml_load_string()3. XML注入回显 输出函数 XML学习 一、XML概述 1. 简述 XML 指可扩展标记语言
WEB漏洞-XXE&XML之利用检测绕过
m0_65137829的博客
07-24 1417
XXE-"xml external entity injection" 服务端接收和解析了来自用户端的xml数据,而又没有做严格的安全控制,从而导致xml外部实体注入
XXE漏洞学习
weixin_43202965的博客
02-25 342
引入外部的DTD文档分为两种: 当引用的DTD文件是本地文件的时候,用SYSTEM标识,并写上“DTD的文件路径”,如下: <!DOCTYPE 根元素 SYSTEM “DTD文件路径”> 如果引用的DTD文件是一个公共的文件时,采用PUBLIC标识,如下方式: <!DOCTYPE 根元素 PUBLIC “DTD名称” “DTD文件的URL”> 例如: <!DOCTY...
VulnHub XXE Lab: 1 WP
小小的花园里面挖呀挖呀~
08-31 9134
XXE(XML External Entity Injection) XML外部实体注入,XML是一种类似于HTML(超文本标记语言)的可扩展标记语言,是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素。 XXE Lab: 1 下载地址:https://download.vulnhub.com/xxe/XXE.zip 扫描子网段发现靶机IP为:172.16.12.1.
vulnhub - xxe
kongshanzhi的博客
04-08 117
这次做vulnhub上的xxenmap进行扫描(nmap -sS 192.168.119.0/24)靶机地址是192.168.119.147访问该地址用dirsearch扫下目录(dirsearch -u http://192.168.119.147/ -e * )看到200的只有两个,index.html不用看了,直接访问robots.txt文件看看根据内容看到robots中声明了两个文件 一个xxe/* 另一个是admin.php我们访问 /xxe看看。
vulnhub-XXE
战神/calmness的博客
07-14 476
目录 信息探测:netdiscover ​访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /etc/passwd PHP伪协议 /xxe/admin.php /xxe/flagneout.php /etc/.flag.php PHPStudy 信息探测:netdiscover 访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /et...
vulnhub-XXE Lab: 1靶机实验
桜的博客
03-29 350
vulnhub-XXE Lab: 1靶机实验 靶机: 下载链接:https://download.vulnhub.com/xxe/XXE.zip 虚拟机设置为net模式 使用nmap探测下目标ip:192.168.124.136 网页是apache默认页面 使用kali枚举一下目录,扫出来一个robots.txt文件 访问http://192.168.124.136/robots.txt ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值