vulnhub-XXE Lab: 1靶机实验
靶机:
下载链接:https://download.vulnhub.com/xxe/XXE.zip
虚拟机设置为net模式
使用nmap探测下目标ip:192.168.124.136
网页是apache默认页面
使用kali枚举一下目录,扫出来一个robots.txt文件
访问http://192.168.124.136/robots.txt
有两个登陆界面
这里在post包中加入XML攻击代码,需要注意红框中的内容
<?xml version="1.0" encoding="UTF-8"?> <!ENTITY test SYSTEM "file:///etc/passwd">]>
成功返回passwd的内容
接着来看看admin.php界面,抓包
这里看不了admin.php的源码,估计是有东西的
我们可以利用前一个页面的xxe看看admin.php的内容
这里改一下红框里的代码即可
返回包是base64加密的,用burp解一下,找到经过md5加密的password
解一下密
接着登陆下admin.php
点击 flag ,没什么东西啊
用xxe看一下,
还有加密:
发现这是base32编码的,进行解密后:
还有加密,这次是base64编码的
用xxe再次查看该文件内容
虽然看不懂,但是是php文件后缀,所以保存为php打开看看
保存到本地打开
OK得到code
总结
两个关键点:1、利用xxe漏洞查看网页源码 2、base64编码,base32编码,md5解密