XXE-lab 靶场
靶场网址:http://172.16.0.87/
第一步我们看到网站有登录框我们试着用 bp 去抓一下包
将抓到的包发到重放器中
然后我们构建palody
<!DOCTYPE foo [
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=C:/flag/flag">
]>
<foo>&xxe;</foo>
我们看到右边的 msg 中出现了一串编码,我们使用 base64 编码解码
我们得到 flag 为flag{dmsioamdoiasdmdmwmdsmd }。
XXE 靶机
靶机:xxe ip:192.168.152.150
第一步信息收集
我们使用御剑的后台扫描工具来查看他网站的后台
我们双击打开后缀为 .txt 的文件
我们可以看到有两个目录/xxe/*,/admin.php
我们挨个访问一下
/admin.php 无法访问
第二步
我们看到 xxe 目录下有登录框,输入账号密码后我们使用 bp 抓包
可以看到是使用xml语言编写的
发送到重放器,然后我们修改 name 中的信息查看页面回显
发现有变化,这时我们构建 palody,使用 php 协议访问admin.php
我们到网页中解码
我们查看解码信息
可以知道账号为 administhebest
我们去破解一下密码
得到密码为 admin@123,我们去登陆一下
显示输入了正确的密码这里是 flag,我们点击一下
发现了另一个 php 文件
我们继续使用 php 协议读取一下
继续解码
解码后发现我们还需要使用 base32 再次解码
我们继续使用 bases64 再次解码
我们得到了一个/etc/.flag.php,我们读取一下
得到了一堆乱码我们创建一个 php 文件,将乱码复制进去访问一下
访问后得到了 flag 为 SAFCSP{xxe_is_so_easy} 。