VulnHub-XXE

最新推荐文章于 2025-04-01 11:00:00 发布
最新推荐文章于 2025-04-01 11:00:00 发布
阅读量1.5w 收藏 1
点赞数
分类专栏: VulnHub靶机 文章标签: VulnHub靶机 VulnHub-XXE XXE靶机
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_32261191/article/details/121589778
版权

简介

本以为该靶机是利用XXE获取权限,做的过程中才发现该靶机不已拿权限为目的,该靶机为CTF题,目的在于学习XXE漏洞。
靶机下载地址:https://www.vulnhub.com/entry/xxe-lab-1,254/

信息收集

使用nmap --min-rate 10000 192.168.142.136 --script=vuln -sV扫描目标主机发现开启80和5355端口,80端口中间件为Apache 2.4.27,存在robots.txt文件,如图:
a.png
访问80端口为Apache默认页面,查看robots.txt文件,如图:
b.png
访问/xxe目录为登录页面,如图:
c.png
提交用户名和密码发现提交的数据是xml格式,如图:
d.png
扫描网站目录及文件发现admin.php文件,如图:
e.png

漏洞发现

根据靶机名称及提交的数据格式猜测存在XXE漏洞,直接利用主动扫描发现存在XXE漏洞,如图:
f.png
读取到/etc/passwd文件内容,如图:
g.png

漏洞利用

利用XXE读取admin.php文件,如图:
h.png
Base64解码之后如下:

<?php
   session_start();
?>
<html lang = "en">
   <head>
      <title>admin</title>
      <link href = "css/bootstrap.min.css" rel = "stylesheet">
      <style>
         body {
            padding-top: 40px;
            padding-bottom: 40px;
            background-color: #ADABAB;
         }
         .form-signin {
            max-width: 330px;
            padding: 15px;
            margin: 0 auto;
            color: #017572;
         }
         .form-signin .form-signin-heading,
         .form-signin .checkbox {
            margin-bottom: 10px;
         }
         .form-signin .checkbox {
            font-weight: normal;
         }
         .form-signin .form-control {
            position: relative;
            height: auto;
            -webkit-box-sizing: border-box;
            -moz-box-sizing: border-box;
            box-sizing: border-box;
            padding: 10px;
            font-size: 16px;
         }
         .form-signin .form-control:focus {
            z-index: 2;
         }
         .form-signin input[type="email"] {
            margin-bottom: -1px;
            border-bottom-right-radius: 0;
            border-bottom-left-radius: 0;
            border-color:#017572;
         }
         .form-signin input[type="password"] {
            margin-bottom: 10px;
            border-top-left-radius: 0;
            border-top-right-radius: 0;
            border-color:#017572;
         }
         h2{
            text-align: center;
            color: #017572;
         }
      </style>
   </head>
   <body>
      <h2>Enter Username and Password</h2>
      <div class = "container form-signin">
         <?php
            $msg = '';
            if (isset($_POST['login']) && !empty($_POST['username']) 
               && !empty($_POST['password'])) {
               if ($_POST['username'] == 'administhebest' && 
                  md5($_POST['password']) == 'e6e061838856bf47e1de730719fb2609') {
                  $_SESSION['valid'] = true;
                  $_SESSION['timeout'] = time();
                  $_SESSION['username'] = 'administhebest';
                echo "You have entered valid use name and password <br />";
		$flag = "Here is the <a style='color:FF0000;' href='/flagmeout.php'>Flag</a>";
		echo $flag;
               }else {
                  $msg = 'Maybe Later';
               }
            }
         ?>
      </div> <!-- W00t/W00t -->
      <div class = "container">
         <form class = "form-signin" role = "form"
            action = "<?php echo htmlspecialchars($_SERVER['PHP_SELF']);
            ?>" method = "post">
            <h4 class = "form-signin-heading"><?php echo $msg; ?></h4>
            <input type = "text" class = "form-control"
               name = "username"
               required autofocus></br>
            <input type = "password" class = "form-control"
               name = "password" required>
            <button class = "btn btn-lg btn-primary btn-block" type = "submit"
               name = "login">Login</button>
         </form>
         Click here to clean <a href = "adminlog.php" tite = "Logout">Session.
      </div>
   </body>
</html>

从源码中发现用户名:administhebest,密码MD5值:e6e061838856bf47e1de730719fb2609,解密后为:admin@123
登录之后,如图:
i.png
点击Flag之后跳转到flagmeout.php文件,但显示404,访问xxe/ flagmeout.php后页面空白,查看源码:
j.png
读取flagmeout.php文件如图:
k.png
Base64解码后如下:

<?php
$flag = "<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->";
echo $flag;
?>

读取xxe.php内容,然后Base解码,如下:

<?php
libxml_disable_entity_loader (false);
$xmlfile = file_get_contents('php://input');
$dom = new DOMDocument();
$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
$info = simplexml_import_dom($dom);
$name = $info->name;
$password = $info->password;

echo "Sorry, this $name not available!";
?>

由于靶机没有开始ssh服务,因此不考虑读取ssh私钥文件,探测内网端口无果,通过搜索后发现该靶机无法getshell,需要解密flag。
通过Base32解码再Base64解码flagmeout.php文件返回的信息后为:/etc/.flag.php,读取该文件内容,如图:
l.png
在线运行后报错信息中不包含flag,需要自行搭建环境运行。

vulnhub——XXE练习
怪味巧克力的博客
04-22 665
今天写一个关于vulnhub上的关于XXE漏洞利用的一个靶场练习 0x01 首先肯定得先下载啊,这里我就不多说了,自己到vulnhub官网下载即可(百度搜官网),然后进去后搜索XXE,下载第一个。解压,安装,靶场布置完成。 0x02 首先我们发现,靶机开启以后是要登录,但是本题并没有给我们登录的账号和密码,所以,别想着去登录了(哈哈哈),那怎么办? 你可能会有疑问,我连靶场IP地址都不知道! 那...
Vulnhub-XXE靶场
hackerXxxt的博客
08-18 486
4.从抓取中的数据包可以看出admin.php是在xxe的目录下面,所以我们打开192.168.200.131/xxe/admin.php页面,将刚刚获取到的账号密码输入。2. 打开burp suite,抓取登录页面的数据包,可以看到XML的格式,这里就可以看出我们所要攻击的XXE漏洞了。(在线php的网站各有差异,我刚开始找的都没有显示出来,还以为是我的数据弄错了,后面试了很多个才找到可以运行出的)将读取到的数据发送到Decoder下,使用base64解密,可以得到账号和密码,密码用md5解密可以得到。
vulnhub-XXE
战神/calmness的博客
07-14 543
目录 信息探测:netdiscover ​访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /etc/passwd PHP伪协议 /xxe/admin.php /xxe/flagneout.php /etc/.flag.php PHPStudy 信息探测:netdiscover 访问80端口 存在XXE请求包信息 可以看到用户名密码是通过xml传递给后端的 查看用户名信息 /et...
Vulnhub-AI-Web1.0靶场通关攻略
最新发布
qq_65852138的博客
04-01 466
【代码】Vulnhub-AI-Web1.0靶场通关攻略。
Vulnhub-XXE靶机
djpcs2013的博客
06-10 520
1.主机发现 nmap -sS 192.168.74.1/24 就是192.168.74.158没错了,开放了80端口。 2.前期信息收集 访问192.168.74.158,就是apache默认页。 御剑扫目录。 访问robots.txt。存在/xxe/路径,admin.php。 ip/xxe为登录界面。 admin.php在/xxe/目录下。ip/xxe...
vulnhub xxe解析
uihijio的博客
07-27 479
xxe原理就不进行介绍了 XXE环境搭建 xxe下载地址: https://download.vulnhub.com/xxe/XXE.zip 也可以进去vulnhub,搜索xxe然后下载 下载之后直接用虚拟机打开ovf文件 安装之后的界面 使用nmap扫描内网,发现一个157地址开放80 打开之后出现下面界面表示安装成功 根据要求是在/xxe/目录下进行测试,如果不知道的话可以用目录扫描工具进行扫描 使用bp抓包 看到用户名和密码被xml语句包含,由此想到xxe漏洞 在构造语句前,目录扫描也有了结
vulnhub-xxe靶场(XXE漏洞最细攻略)
2301_76631050的博客
07-25 937
看不懂,但是 是flag.php里的内容,猜测是php代码,用自己的网站查看,在自己得WWW目录下创建.php文件把内容粘贴到里面,不要忘记加
XXE漏洞详解【内含vulnhub靶场XXE Lab:1详解】
07-30
XXE靶场中,我们可以模拟实际场景进行练习,例如在vulnhubXXE Lab:1靶场中,首先识别靶机IP,使用工具如nmap扫描开放端口,然后通过目录遍历(如`robots.txt`)和Burp Suite抓包分析,确定XML数据传输。...
渗透:vulnhub-XXE 靶机
m0_46412682的博客
09-13 1280
渗透:vulnhub-XXE 靶机 一、靶机下载 靶机XXE 下载地址: https://download.vulnhub.com/xxe/XXE.zip 二、装靶机 ①把下载好的压缩包解压到我自己的D盘:F:\虚拟机数据\XXE ②右键双击xxe.ovf-->打开方式-->VMware,存储在自己喜欢的位置 导入后,打开虚拟机 就这样,然后设置nat模式 我们这里的VM...
vulnhub-XXE Lab: 1靶机实验
桜的博客
03-29 410
vulnhub-XXE Lab: 1靶机实验 靶机: 下载链接:https://download.vulnhub.com/xxe/XXE.zip 虚拟机设置为net模式 使用nmap探测下目标ip:192.168.124.136 网页是apache默认页面 使用kali枚举一下目录,扫出来一个robots.txt文件 访问http://192.168.124.136/robots.txt ...
[内网渗透]XXE-vulnhub
leekos的博客,分享web安全相关知识~
07-20 450
其实这个xxe的靶场也不难,就一下常规步骤,之前没有写wp,以后要多总结,多写wp才能更好的复习。
vulnhub-XXE靶机渗透
banacyo14206的博客
08-24 434
靶机: 下载链接:https://download.vulnhub.com/xxe/XXE.zip XXE注入工具下载: https://download.youkuaiyun.com/download/weixin_41082546/11609927 CTFCrackTools解码工具: https://download.youkuaiyun.com/download/weixin_410825...
vulnhub - xxe
kongshanzhi的博客
04-08 169
这次做vulnhub上的xxenmap进行扫描(nmap -sS 192.168.119.0/24)靶机地址是192.168.119.147访问该地址用dirsearch扫下目录(dirsearch -u http://192.168.119.147/ -e * )看到200的只有两个,index.html不用看了,直接访问robots.txt文件看看根据内容看到robots中声明了两个文件 一个xxe/* 另一个是admin.php我们访问 /xxe看看。
vulnhubXXE靶机详解
天天学安全专属博客
03-20 987
vulnhubXXE靶机详解
Vulhub-php_xxe
Mccc_li的博客
04-16 912
test
vulnhub-XXE漏洞靶机流程(图文+工具包)
qq_45514735的博客
03-05 6281
靶机下载链接 http://download.vulnhub.com/xxe/XXE.zip win下全套工具包 链接:https://pan.baidu.com/s/1joOWbE6823GuFyBm92sR0A 提取码:r0xn 一、首先打开靶机 靶机是不给你账号密码的,为了防止你直接混入系统查找flag,通常密码都会先设置的非常复杂,不要想着破解了。 二、打开nmap对内网进行一次扫描找到靶机 在虚拟机里找到你的内网ip池以及掩码 填入nmap,配置选择Qui......
vulnhub XXE靶场复现
weixin_44914783的博客
09-19 1553
信息收集 (1)如图,为环境搭建好之后的状态,暂时什么都未知 (2)使用nmap工具对网段进行扫描,获取到xxe平台的IP和端口开放情况,可以判断出该平台IP为192.168.159.223 (3)进行验证,成功 (4)使用kali工具dirsearch对网站进行目录扫描,发现敏感文件robots.txt (5)访问192.168.159.223/robots.txt,再次发现两个敏感文件,依次访问 ...
vulnhub打靶-XXE
m0_52920608的博客
07-18 316
vulnhub---xxe打靶
Vulnhub--XXE漏洞复现
qq_62169455的博客
08-23 499
下载完后,选择OVF文件,打开方式选择VMware,存储位置看你自己,然后打开靶机需要我们去登录,这里是没有现成的信息可以让我们登录(Vulnhub的靶场就是比较贴近于实战的环境,这里登录进去就可以直接看到flag,所以它不会直接给我们登录信息),于是就需要通过其他一些渗透手段来获取登录信息。
pikachu-maste中xxe
01-08
### 关于 Pikachu-Master 项目中的 XXE 漏洞 #### 解决方案概述 针对 Pikachu-Master 项目中存在的 XML 外部实体 (XXE) 漏洞,主要的防护措施集中在防止恶意输入被解析器处理以及限制外部资源访问。具体来说: - **禁用外部实体扩展**:通过配置应用程序使用的 XML 解析库来阻止其加载来自外部的 DTD 实体声明[^3]。 - **验证并清理用户输入**:确保所有接收自用户的 XML 数据都经过严格的模式校验或白名单过滤机制,从而排除潜在危险字符和结构。 - **采用安全编码实践**:遵循 OWASP 推荐的安全开发指南,在编写涉及文件操作、网络请求等功能模块时特别注意防范注入类风险。 #### 技术实现细节 对于 PHP 应用程序而言,可以通过设置 `libxml_disable_entity_loader(true)` 来关闭默认开启的外部实体加载功能,这一步骤应当尽可能早地执行以覆盖整个应用生命周期内的所有 XML 解析活动[^4]。 另外一种方法是在服务器端对上传的内容进行预处理,移除不必要的 DOCTYPE 声明部分,并替换掉可能引起问题的标准实体引用形式,例如下面这段代码展示了如何利用正则表达式完成这一任务: ```php <?php function sanitize_xml($input){ $pattern = '/<!DOCTYPE.*?>/'; return preg_replace($pattern, '', htmlspecialchars($input)); } ?> ``` 此外,还可以考虑引入专业的第三方组件如 [XMLReader](https://www.php.net/manual/en/book.xmlreader.php),它提供了更细粒度控制的能力用于读取大型 XML 文档而不必一次性将其全部载入内存中;同时配合使用 [DOMDocument::loadHTML()](https://www.php.net/manual/en/domdocument.loadhtml.php) 方法代替原始的 load 函数也能有效规避某些类型的 XXE 攻击向量。 #### 预防建议 为了进一步降低遭受此类攻击的可能性,开发者还应该定期审查依赖项是否存在已知漏洞,并及时更新至最新版本;保持良好的日志记录习惯以便快速响应异常情况的发生;最后也是最重要的一点就是加强团队内部关于 Web 安全意识方面的培训教育工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值