从0到1渗透Vulnhub-XXE靶机

运行说明

目标:获取靶机Flag

靶机难度:中等

运行环境:攻击机Kali Linux 2019.4&&靶机XXE VMware 15.X

靶机XXE 下载地址: 

https://download.vulnhub.com/xxe/XXE.zip

网络设置:VMware当中的NAT模式

 

风雨欲来

我们把下载好的xxe靶机文件解压到我的D:ios镜像靶机xee

然后打开xxe文件 类型为开放虚拟化格式程序

存储路径就是我们在D:ios镜像靶机xee创建的xxe文件夹

 

点击导入后 我们就可以打开靶机了

打开后等待一段时间就这样了，我们不必去管它，也别关闭这个靶机。

接下来我们来看看我们的网络模式是否正确

我们这里的VMnet8 是NAT模式啊(打开虚拟网络编辑器：虚拟机的左上角 编辑 –->网络虚拟编辑器)接下来我们切换到我们的kali linux即可开启我们的练习了

长达两年半的练习

这里我们可以用netdiscover工具或者nmap工具去扫描虚拟机下的网关这里我就首选netdiscover了，因为你用nmap扫描还得知道自己的网关ip。相对而言是麻烦的！

因为我kali的ip从这里是可以看到的，所以很明确知道靶机地址是192.168.214.131

 

知道ip我们第一时间使用namp去扫描一下有什么东西

不难知道靶机开放了80和5355这两个端口

 

因为开放了80端口，我们直接访问ip看看吧

因

得到了这么一个ubuntu的默认页面，几乎没有什么可以利用的价值

按照大佬们写的靶机渗透文章，这时候我们应该扫描一下靶机的目录

 

这里有两个工具推荐，一个是dirb(这个是kali自带的工具)还有一个是dirsearch（需要自己去github上面克隆到kali里面）

由于kali linux 2019.4是我今晚更新的 没啥脚本所以我们还是用dirb吧，不过我还是推荐大佬们去使用一下dirsearch，百度有很多教程！！！

咦，居然存在robots.txt文件，必须去看一看

打开后发现有/admin.php 我们来打开看看

好的，是我不配。我们来看看这个xxe吧。

我试过了弱口令，不存在。既然是xxe靶机，那么我们从xxe的思路来吧。

拔出我们的神器 burpsuite 配置代理（此处忽略）

 

我们随便输入内容，然后抓包

二话不说，咱直接丢尽repeater 然后send看看回显什么内容

我们直接用xxe的方式开始利用吧。

插入：

            <!DOCTYPE r [

            <!ELEMENT r ANY >

            <!ENTITY admin SYSTEM "file:///etc/passwd">

             ]>

记得修改为<name>&admin;</name>

既然有回显，那么我们就来利用这个思路看看刚才看不了的admin.php

放回结果是被base64加密了的内容，我们去百度查找在线工具然后解密看看当然了，burpsuite也自带了解码工具，我们方便一些，直接使用现成的！

可以知道一串被md5加密的密码，我们事不宜迟直接去解密吧。

可以得出密码是 amdin@123 但是我们拿去登录却一直登陆不进去

怎么回事呢？？我疑惑了很久，于是对这个目录扫描了一下

不扫不知道，一扫就是惊喜

没想到在xxe目录下面还有一个admin.php文件

我想，密码应该是这个文件的吧。

成功登录了，显示了一个红色的Flag，点击发现是个跳转，但跳转的文件无法打开，我们再次用xxe的利用思路看看

又是得到一串编码，我们去解码看看

再次得到一串flag，但这个flag是编码的，我们再解码看看 不难看出是个base32编码，因为burpsuite只能解码base64，我们去找在线平台解码吧

这个靶机，我。。。tm的，又是个base64编码。老套路，拿去burpsuite解码吧

 

这一次终于不是一个被编码的内容了，而是一个文件，我们用xxe漏洞利用方式来看看里面有什么内容吧！

又得到了一堆编码的东西，再去解码看看有什么吧。

这次解码的东西是什么鬼。。。 。。。

找了很久，才从万能的度娘找到了，这是一个webshell，算是变形的吧！

 

接下来我们就把它保存在本地，然后打开环境运行看看

记得得加标识符，因为是webshell，php语言运行！

 

保存后，本地打开

功夫不负有心人，我终于拿到了flag！！！

 Failure evaluating code: SAFCSP{xxe_is_so_easy} 

 

我是一个菜鸟，名为南方有梦 是大家的表弟