XXE靶机渗透

最新推荐文章于 2023-12-27 21:54:32 发布

zzgslh

最新推荐文章于 2023-12-27 21:54:32 发布

阅读量806

点赞数 2

分类专栏：靶机文章标签：信息安全

本文链接：https://blog.csdn.net/zzgslh/article/details/105475035

版权

靶机专栏收录该内容

2 篇文章 0 订阅

订阅专栏

靶机描述

XXE靶机，目标获取flag。
（下载链接:https://download.vulnhub.com/xxe/XXE.zip）。

渗透测试过程

端口扫描

使用nmap扫描发现开放80，5355端口。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-DlSrYBXQ-1586692886889)(.\images\0.png)]$

访问web服务

1.首先访问80端口，页面是Ubuntu的默认页面。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-3UsdceeL-1586692886890)(.\images\1.png)]$

2.使用御剑扫描web目录，发现存在robots.txt目录。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Lk0HaV4d-1586692886891)(.\images\2.png)]$

3.访问robots.txt目录，发现存在/xxe和/admin.php目录。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-7bv8Me3B-1586692886892)(.\images\3.png)]$

4.访问/xxe目录是一个登录窗口，尝试弱口令进不去。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AGidMXP0-1586692886893)(.\images\4.png)]$

5.访问/admin.php，这里直接报Not Found，试试其他思路，将admin.php放在/xxe目录后面，也发现一个登录页面。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wtp859Ea-1586692886894)(.\images\5.png)]$

6.这里突然想到，本题是练习xxe漏洞，所以尝试使用xxe漏洞的思路，这里我们在/xxe目录下，登录使用burpsuite抓包，查看发现此处果然是通过XXE外部实体进行请求的。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-D45bxKnu-1586692886895)(.\images\6.png)]$

7.利用XXE漏洞，尝试获取/etc/passwd文件内容，构造payload如下，将其插入到xml文档之间，同时修改&admin;。

`<!DOCTYPE GVI [

<!ENTITY admin SYSTEM "file:///etc/passwd" >

]>`。

获取成功：
$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ZNVTlddq-1586692886896)(.\images\7.png)]$

8.尝试获取admin.php文件内容，因为这里没有admin.php文件的绝对路径，所以使用php伪协议获取：

`<!DOCTYPE GVI [

<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php" >

]>`

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WMHjiPXh-1586692886897)(.\images\8.png)]$

9.使用base64进行解码，查看admin.php的源码，找到一对用户名和密码administhebest/admin@123。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hd6LMNtU-1586692886898)(.\images\9.png)]$

密码是经过md5加密的，使用在线的SOMD5解密后得到密码为:admin@123。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-97bzM21S-1586692886899)(.\images\10.png)]$

10.使用密码进行登录，发现/xxe目录是登录不了的，/xxe/admin.php目录登录成功，发现Flag字样。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lEoEUmTr-1586692886900)(.\images\11.png)]$

11.点击【Flag】，发现找不到该页面：flagmeout.php。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-HMlOCevX-1586692886901)(.\images\12.png)]$

12.将flagmeout.php放在/xxe目录下，继续查看源码，发现这里提示Flag在这段编码中。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6yJ12ZMV-1586692886902)(.\images\13.png)]$

13.可以看出，这是一个base32的编码，使用工具解密，解码后为base64加密。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y1QnVAGZ-1586692886902)(.\images\14.png)]$

14.继续解码，解码出的明文是/etc/.flag.php。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yz6OY6GF-1586692886904)(.\images\15.png)]$

15.继续使用xxe获取该文件内容，得到了一堆类似编码的东西，好像是JavaScript 代码的webshell。

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SBqsh8M9-1586692886904)(.\images\16.png)]$

16.使用源代码审计工具执行该段代码，最终获得flag:SAFCSP{xxe_is_so_easy} .

$[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-4L2dznIw-1586692886905)(.\images\17.png)]$

zzgslh

关注

2
点赞
踩
1

收藏

觉得还不错? 一键收藏
1
评论
XXE靶机渗透

靶机描述XXE靶机，目标获取flag。（下载链接:https://download.vulnhub.com/xxe/XXE.zip）。渗透测试过程端口扫描使用nmap扫描发现开放80，5355端口。访问web服务1.首先访问80端口，页面是Ubuntu的默认页面。2.使用御剑扫描web目录，发现存在robots.txt目录。3.访问robots.txt目录...
复制链接

扫一扫