xxe漏洞之scms靶场漏洞

xxe-scms

  1. 代码审核

(1)全局搜索simplexml_load_string

simplexml_load_string--将XML字符串解释为对象

xxe漏洞之scms靶场漏洞_第1张图片

(2)查看源代码

ID=1

xxe漏洞之scms靶场漏洞_第2张图片

$GLOBALS['HTTP_RAW_POST_DATA']就相当于file_get_contents("php://input");

因此这里就存在xxe漏洞

ID=6

xxe漏洞之scms靶场漏洞_第3张图片

这里也出现了file_get_contents("php://input");

因此也存在xxe漏洞

2.验证xxe漏洞

(1)/api/notify.php

找到漏洞点位置

www.scms.com/api/notify.php

用burp抓包输入代码得到

xxe漏洞之scms靶场漏洞_第4张图片

将get改为post

输入

]>

&xxe;

xxe漏洞之scms靶场漏洞_第5张图片

打开dnslog

xxe漏洞之scms靶场漏洞_第6张图片

成功写入证明漏洞验证成功

(2)weixin/index.php

与上述同理先访问漏洞点

www.scms.com/weixin/index.php

xxe漏洞之scms靶场漏洞_第7张图片

再用burp抓包

将get改为post

输入

]>

&name;

xxe漏洞之scms靶场漏洞_第8张图片

你可能感兴趣的:(网络安全)