使用御剑目录扫描工具测试一下,发现有robots.txt文件
访问robots.txt文件,这个文件通常放的是一个网站的目录
我们得到两个目录,试着访问一下
xxe目录下是一个登录页面,xxe/admin.php目录下也是一个登录页面
我们先在xxe页面进行登录抓包测试
得到的数据包发到重放器中进行xxe注入测试,更改用户名为2,则响应包中回显2
所以存在用户名处有回显
尝试进行xxe注入,构造xxe语句使用file协议访问一下etc/passwd文件,看看是否能访问到
<!DOCTYPE test[
<!ENTITY xxe SYSTEM "file:///etc/passwd">
]>可以访问,那么就是可以进行xxe注入
结合之前访问robots.php文件得到的目录,我们可以访问一下admin.php文件,这需要使用php协议
<!DOCTYPE test[
<!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=admin.php">
]>
访问到后进行base64解码得到一篇php代码,在这个里面发现了用户名和密码
密码使用md5加密的,我们进行解码得到密码是admin@123
来的admin登录页面下,登录用户,看到有一句话说flag在这
点击后并有没有flag,但是我们跳转到了一个flagmeout.php文件下,那么我们可以使用xxe语句访问一下这个文件
访问后发现里面是有东西的
经过base64解码后,得到flag,但是这个是使用base32编码后的
解码得到一串base64编码的东西
再次进行base64解码得到一个.flag.php的目录,还是一个隐藏文件,我们使用xxe语句查询一下这个文件
将得到乱码经过base64解码后,是一片php语句,但是需要php环境才能解析
我们直接在我们本地的根目录下创建一个1.php文件,将php语句复制进去
要加上php语句定界符才可以
访问这个1.php文件;最终得到真正的Flag如下图:
