靶机实战XXE

原创 已于 2024-11-06 16:46:20 修改 · 2k 阅读 · 35 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux #运维 #服务器

于 2024-11-01 18:26:39 首次发布

0x01:环境搭建

靶机下载地址:XXE LAB:1

选择箭头指示的下载链接:

下载的是一个zip压缩文件,同学们解压到自己想要放置的文件夹,这里建议大家创建一个labs文件夹,把所有的靶机ISO文件,或者是ZIP压缩包,全都放在一起,方便统一管理操作。

解压下来以后,将xxe.ocf文件拖拽到VM中的虚拟机栏位

然后填写名称与虚拟机存放位置就好了

0x02:信息收集

        三板斧

                一、ip扫描

                老规矩,先找找看靶机的ip地址是什么,不然连入口都进不去,还打个锤子。

很明显,这个192.168.183.137就是了

首页:

二、端口扫描

如图,80/tcp 5355/tcp开放

三、目录扫描

居然只有个robots?去瞅瞅

原来如此,那么为什么dirsearch没有扫出来呢?

问得好,因为他默认的字典里没有xxe这个字段

是个登录界面

随便先写个用户名,密码看看情况

好好好,不让进是吧,burpsuite启动!!!

0x03:漏洞利用

        三用XXE

               a、第一次

咱们抓他的POST包,看看具体是个什么情况。

如上图,看到xml了,是不是可以尝试写一些恶意代码,来试试有没有xxe漏洞了呢?

我们试着构建一段小烧代码:

<!DOCTYPE foo [<!ENTITY afk SYSTEM "file:///etc/hosts">]>
<b>&afk;</b>

首先,把抓到的这个包,发到repeater模块,然后把小烧代码插到如图所示框选位置,点击send:

可以看到右边回显出了passwd,说明这里不仅存在xxe漏洞,而且还是可回显的。

root肯定是管理员,但是这个r00t是个什么玩意???

不懂,再去刚刚找到的admin.php瞅瞅。(注:这里要去的路径是/xxe/admin.php)

哟,是后台登录界面。再随便写一个看看呢

老规矩,再随便填一个,然后抓包

                b、第二次

嘶~源代码也没有什么可疑内容,php代码块被过滤了。

再去利用刚刚的xxe漏洞,看看admin.php源码。

再构建一个小烧代码:

<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY afk SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>

还是将小烧代码,插到刚才的位置。

可以看到右边是一堆经过base64编码后的代码。去解码看一看

可以看到,用户名是administhebest,密码是md5加密过的,解密后是:admin@123

回去登录

点进来后显示404

之前查到的说是/xxe/*,这里意思就是根目录,和/xxe/admin同理,要去/xxe/flagmeout.php才可以

得到神秘代码:JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5

这个是base32加密的,去解一下看看

继续base64解

找到了flag的藏身之处/etc/.flag.php

哟,还是找不到

再去抓包

                c、第三次

再再去xxe漏洞哪里找!

继续base64解码

得到了一坨神秘代码,查询后得知是PHP 中的 eval() 函数的典型用法。

在本地搭建apache+php服务(开启小皮面板,打开apache就可以了),把这坨神秘代码放入flag.php文件中,然后把该文件放到localhost下(路径一般是X:\PhpStudy\phpstudy_pro\WWW),然后浏览器打开localhost,尝试访问falg.php看看。

 以上就是本次靶机实战的全部内容,希望能对您有一点点的帮助。

Shadowyz.
关注
靶机实战bwapp亲测xxe漏洞攻击及自动化XXE注射工具分析利用
代码讲故事
02-04 693
靶机实战bwapp亲测xxe漏洞攻击及自动化XXE注射工具分析利用。
【XEE实战项目】虚拟机部署-XXE靶机通关详解
m0_59151303的博客
07-25 1078
可以看到the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5),这串代码也是进行了加密,我们再进行解密,他的加密方式是base32 (一般MD5加密是32位,base64加密末尾都有等于号,没有等于号的可能是base32加密,严格意义上说是编码),将其解码看一下。解码以后,我们发现看不懂,但是我们知道他是php文件,可能是php代码,新建一个php文件,将代码写进去,访问一下。解码之后,我们可以发现有账号密码,但是密码用MD5进行了加密,解密一下。得到flag,完美!
XXE靶机详解
like_niustyle的博客
09-14 751
常规思路:先扫描端口,扫描目录 这里有点迷惑了,我用nessus扫了一遍扫出来两个开放端口:80和5335,。但是用nmap只扫描出来了一个80 端口 不知道是什么原因,有懂的大佬可以解释一下 不管了,根据后面的结果来看端口多一个少一个完全不影响 照例访问80: 没啥用,apache默认页面 端口5335访问不了 接下来扫目录,御剑和dirb都可以,看用什么系统了 index.html依然是apache的默认界面 robots.txt: xxe是目录,admin.php是页面 xxe: xx
xxe靶机
shy的博客
01-15 461
开始之前先回忆一下nmap 一直都知道nmap功能很强大,但是平时工作中就只用来扫描端口,渐渐的都忘记了其它的功能及使用方法,正好今天做靶场需要用nmap进行存活主机发现,总结下nmap的使用方法。 场景一:主机发现 nmap -sP 192.168.44.0/24 使用ping命令来发现存活主机 场景二:端口扫描 nmap -v -sV -p- 192.168.44.138...
XXE靶机
weixin_71053667的博客
07-25 298
扫描目录我们首先要知道该网站下有哪些页面,然后在其中找有XXE的漏洞,通过御剑目录扫描来扫描目录。将发现的flagmeout.php放到xxe里找一下,右击查看源代码。指向/etc/passwd文件,发现没有。查看/var/www/html/xxe/index.php,也没有。复制后解码发现没用,继续查看admin.php。得到/etc/.flag.php,再次抓包。发送后放到php文件中运行,最终拿到。打开xxe/admin.php,在xxe界面,输入,发现回显点。点击flag,没有找到,
XXE -靶机
2201_75891821的博客
07-25 645
XXE靶机
靶机xxe
weixin_43940853的博客
03-03 243
靶机主要考察的就是xxe,过程很简单,而且没有涉及提权,就走一遍流程,后面重点总结 访问admin.php显示404,访问xxe目录 发现了xml,直接xxe攻击 直接读取passwd的信息,下面以同样方法读取admin.php 解密出来登录不了,原来xxe目录下也存在这一个admin.php 将得到的字符串先base32解密 base64解密得到一个路径 解密后是一个利用自增...
vulnhub靶机xxe
weixin_68416970的博客
06-15 1074
看不懂,应该是flag.php里的内容,猜测是php代码,于是放入在线的php环境或者自己的 网站查看。php解析器版本是php5才能正常解析出flag,版本过高都会显示不出flag。得到登录密码,因为是在admin.php的源码里于是访问admin.php网址。因为是xxe靶场,于是猜测登录是用xml数据传输,使用burp抓取登录包内容。访问本地xxe.php的源码,用base64格式输出,解码得。全是大写字母和数字,猜测是base32加密,再解密。并无发现,同样的方法查看admin.php。
vulnhub-XXE漏洞靶机流程(图文+工具包)
qq_45514735的博客
03-05 6417
靶机下载链接 http://download.vulnhub.com/xxe/XXE.zip win下全套工具包 链接:https://pan.baidu.com/s/1joOWbE6823GuFyBm92sR0A 提取码:r0xn 一、首先打开靶机 靶机是不给你账号密码的,为了防止你直接混入系统查找flag,通常密码都会先设置的非常复杂,不要想着破解了。 二、打开nmap对内网进行一次扫描找到靶机 在虚拟机里找到你的内网ip池以及掩码 填入nmap,配置选择Qui......
[渗透测试学习靶机06] vulnhub 靶场 XXE Lab 1
weixin_47112073的博客
10-23 917
网上看到了好多xxe靶机通关的文章,但是没人写为什么可以实现文件读取,为什么是XXE漏洞,我在这里简单写一下,一来方便自己以后看,二来对还没有接触过xxe漏洞的朋友来说也比较友好
渗透:vulnhub-XXE 靶机
m0_46412682的博客
09-13 1317
渗透:vulnhub-XXE 靶机 一、靶机下载 靶机XXE 下载地址: https://download.vulnhub.com/xxe/XXE.zip 二、装靶机 ①把下载好的压缩包解压到我自己的D盘:F:\虚拟机数据\XXE ②右键双击xxe.ovf-->打开方式-->VMware,存储在自己喜欢的位置 导入后,打开虚拟机 就这样,然后设置nat模式 我们这里的VM...
XXE靶机实战
2401_88360043的博客
11-01 887
XXE靶机
XXE靶机实战-vuluhub系列(三)
PANDA墨森的博客
06-28 568
这是vulnhub靶机系列文章的第三篇,具体下载连接去vulnhub或者百度、谷歌搜搜就好...开始进入主题 首先xxe是xml外部实体注入漏洞,可通过进入外部实体进行攻击,例如读取敏感文件,扫描端口等等,实战中感觉出现几率不是很大,唯一一次遇到是某司面试题,当时团队小伙伴遇到了,运气爆棚的我找到了xxe漏洞,顺道内部交流了下hahaha,不扯淡了,开始吧... 原文链接:https://www.cnblogs.com/PANDA-Mosen/p/13183950.html #001寻找靶机ip ..
XXE靶机渗透
zzgslh的博客
04-12 1011
靶机描述 XXE靶机,目标获取flag。 (下载链接:https://download.vulnhub.com/xxe/XXE.zip)。 渗透测试过程 端口扫描 使用nmap扫描发现开放80,5355端口。 访问web服务 1.首先访问80端口,页面是Ubuntu的默认页面。 2.使用御剑扫描web目录,发现存在robots.txt目录。 3.访问robots.txt目录...
vulhubXXE靶机
日常打一些漏洞靶机
07-30 603
将下载好的靶机导入到VMware中,设置网络模式为NAT模式,然后开启靶机虚拟机。
vulnhub之XXE靶机详解
天天学安全专属博客
03-20 1020
vulnhub之XXE靶机详解
WEB常见漏洞之XXE(靶场篇)
Javachichi的博客
11-10 1385
其实在我们攻击具有XXE漏洞的服务器时,受攻击服务器进行了两次响应,如果查看受攻击的服务器上的日志会发现两条记录:一次是对XML进行解析后对另一台远程服务器的访问,一次是访问服务器自身上具有XXE漏洞的文件。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。
XML外部实体注入总结(XXE靶机复现)
qq_61702710的博客
07-16 1029
6,访问靶机的/xxe路径发现存在登录,随便输入账号密码发现页面存在回显,利用burpsuite抓包查看,通过抓包发现是XML数据的提交,利用外部实体注入读取用户的账户文件,确定存在XXE漏洞。解码出来发现一串类似于无字符Webshell构造的PHP内容,复制到PHP上跑一跑,应该需要PHP版本比较低,PHP7以上就跑不出来flag,这里用的是PHP5.6。9,又出来一个新站点/etc/.flag.php,一样代入上面poc,读出新的内容。依次将所知道的站点带入:admin.php,xxe.php。
靶机实战
最新发布
07-27
### 靶机实战练习的重要性 网络安全领域中,靶机实战练习是提升攻防技能的重要手段。通过实际操作,学习者能够深入理解各种攻击技术和防御策略,从而提高应对真实网络攻击的能力[^1]。 ### 靶机环境搭建指南 为了有效地进行靶机实战练习,首先需要搭建一个合适的实验环境。这通常包括以下几个步骤: - **硬件资源**:至少需要两台计算机,一台作为攻击机,另一台作为靶机。 - **软件资源**:选择合适的操作系统(如Windows、Linux)、虚拟化软件(如VMware Workstation、VirtualBox)以及安全工具(如Wireshark、Metasploit)。 - **网络配置**:确保攻击机与靶机之间可以互相通信,并且配置好网络隔离,以避免测试行为影响到其他网络设备[^4]。 ### 攻防演练实践 攻防演练是一种模拟真实网络攻击的活动,旨在检验防守方的安全防护和应急处置能力。这种演练通常分为四个阶段: - **备战阶段**:通过风险评估手段,对内外网信息化资产风险暴露面进行全面评估,制定合理可行的安全整改和建设方案。 - **临战阶段**:制定应急演练预案,有序组织开展内部红蓝对抗、钓鱼攻击等专项演练工作。 - **实战阶段**:依托安全保障中台,构建云地一体化联防联控安全保障体系,利用情报协同联动机制,持续有效地进行威胁监控、分析研判、应急响应、溯源反制等工作。 - **总结阶段**:对攻防演练工作进行经验总结和复盘,梳理总结报告,对演练中发现的问题进行优化改进和闭环处理[^5]。 ### 学习资源推荐 对于网络安全学习者来说,有许多资源可以帮助提升实战技能。例如,可以通过实操快速提升实战技能的网络安全靶场,这类平台基于平行仿真技术的应用,集演、训、学、测为一体,提供场景化、实战化、体系化的实训环境。此外,还可以参考从网络安全入门到攻防实战的指南,这些指南通常会涵盖操作系统基础、网络协议与架构、常见漏洞原理等内容,帮助学习者逐步掌握网络安全的核心知识[^3]。 ### 示例代码:使用Python进行简单的网络扫描 下面是一个使用Python进行简单网络扫描的示例代码,可以帮助学习者了解如何使用编程语言进行基本的网络安全测试。 ```python import socket def scan_ports(ip, ports): open_ports = [] for port in ports: try: sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM) sock.settimeout(1) result = sock.connect_ex((ip, port)) if result == 0: open_ports.append(port) sock.close() except Exception as e: print(f"Error scanning port {port}: {e}") return open_ports if __name__ == "__main__": target_ip = "192.168.1.1" port_range = range(1, 1025) open_ports = scan_ports(target_ip, port_range) print(f"Open ports on {target_ip}: {open_ports}") ``` ###
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值