技术标签: php strpos ctf
0x00 第一次尝试
这个题是别人一个月前问我的一个题,当时忙,看了下,发现好像不会,就先放着了。。。
0x01 第二次尝试
这个题之前弄了好一会,都没搞出来,一直没时间,今天下定决定把它做出来!!!(尼玛,我最后花了半个月)
highlight_file(__FILE__);
class Login {
public function __construct($user, $pass) {
$this->loginViaXml($user, $pass);
}
public function loginViaXml($user, $pass) {
if (
(!strpos($user, '')) &&
(!strpos($pass, ''))
) {
$format = '<?xml version="1.0" encoding="UTF-8"?>'.
''.
''.
'';
$xml = sprintf($format, $user, $pass);
$datas = new SimpleXMLElement($xml);
$dom = dom_import_simplexml($datas);
$dom->ownerDocument->xinclude();
echo $dom->ownerDocument->saveXML();
}
}
}
new Login($_POST['username'], $_POST['password']);
原代码如上,采用oop的方式来写的,先看loginViaXML()相关函数。
hightlight_file()以php格式高亮来输出文件内容;
_FILE_,php内置常量,当前文件的绝对目录;
strops()用来查找字符串A当中是否存在字符串B(从左往右找),如果有,返回位置,从0开始计数,如果没有返回false;
sprintf()只格式化,返回字符串,不输出字符串,printf()同样也是格式字符串,但是会输出字符串;
SimpleXLElement()实例化xml;
dom_import_simplexml将xml转化为dom;
$dom->ownerDocument->xinclude(),有点没搞明白啥意思,知道的告诉我一下,谢谢。 这里才是拿flag的重点,用这个来包含xml
$dom->ownerDocument->saveXML(),将xml放入一个字符串
其实没明白想要干什么,无非是把用户和密码加上后格式成新的字符串,然后将字符串实例成XML对象,接着将XMl对象转成dom,然后又把dom转成字符串。。。想了半天没看出来想这和flag有什么关系的。
提交了参数以后,确实能输出。
那就只去构造XXE注入呗,但是上面的函数中有waf,先来分析下。
strpos($user,'
!strpos()想成真,那么strpos()一定得成假了,假的时候也就是找不到指定字符串,即提交数据时不能包含,但是不能携带这两字符,就没有办法完成注入了。
这里就得利用!strpos()的一个问题了,当strpos()找到了特定字符串,并且当这个字符串为开头时,返回的结果会是0,那么此时!strpos()就为真了。
经测试,也就是在开头加上就可以绕过waf。
接着构造XXE的poc,好吧,真的弄不出来。凉凉,几天了。。有没有大佬教一下的,放弃了,回头再弄吧。
0x02 第三次尝试
又尝试了一次,无果,记录下。
由于之前尝试闭合XXE时,在写入文档定义时,一直在提示有无效的起始tag符号,其实就是
这次思路是闭合。
用自己在本地的环境下测试的闭合语句,构造payload的情况如下
如果没有了办法使用&以外,其余的闭合已经正常了,接着将以下payload提交。
username=>">
]>
&xxe;
">
格式继续错误,查了一下,应该是XML的文件格式错误,这里大概是不能出现两个根元素,我这里使用了两次,又失败了,下次继续尝试。
0x03 第N次尝试!!!
做这个题,真的是把我搞累了,我艹了,QQ微信里面的大佬全问了一遍,要么不理我,要么说看一下就没有结果,要么直接就是不会。。。心想着谁搞出来搞包烟他表示感谢,结果最后还是自己弄出来了。NMD,NMD,NMD,WC,WC,WCNDY,心累了。好了,无能狂怒结束,说正紧的。
重点就是这个xinculde()函数,最开始没有理解的xinclude()果然是解题关键,确认后又再去查了n次,最后这一次查的信息感觉和几前的不一样(这是什么鬼情况),这次看得明白多了,也许是经历的多了吧hhh
什么是xinclude?
导入外部xml文档,将外部定义的dtd引入当前文件,类似于php的include;
为什么要使用 xinclude?
为什么要使用 XInclude,而不是 XML external entities?
答案是,XML 外部实体有很多众所周知的局限和不便于使用的含义,这些因素极大地妨碍了 XML 外部实体成为多用途包含工具。具体来说:
XML 外部实体无法成为一个成熟的独立 XML 文档,因为它既不允许独立的 XML 声明,也不允许 Doctype 声明。这实际上意味着 XML 外部实体本身无法包括其他外部实体。
XML 外部实体必须是格式规范的 XML(第一眼看起来好象没有这么差,但想象一下怎样将示例 C# 代码包括到 XML 文档中)。
未能加载外部实体是重大错误 (fatal error);严格禁止任何恢复。
只能包括整个外部实体,无法只包括文档的一部分。
外部实体必须在 DTD 或内部子集中进行声明。例如,这些含义可能是:要求文档元素必须在 Doctype 声明中命名,以及对读取方的验证可能需要在其他文档的 DTD 中定义文档的全部内容模型。
嗯,上面都是查的,点我看原文。。。其中有的碰到过,比如之前在研究闭合的时候,DTD怎么写都不对,只能重新闭合构造根元素,闭合构造后又提示格式错误,这些都是因为XML的限制。
如何使用xinclude()?
XInclude 定义了一个便于在 XML 文档中实现模块化的多用途包含机制。包括过程被正式定义为将很多 XML 信息集 (XML Infoset) 合并到单个复合的 XML 信息集中。作者通过包含指令来指定要合并哪些文档并控制合并过程。包含指令的 XInclude 语法基于大家熟悉的、容易产生和处理的 XML 构造:元素、属性和 URI 引用。
XInclude 支持包含非 XML 文本文档,并允许作者控制恢复过程。例如,您可以提供要包含的默认内容或备用文档,如果无法加载远程资源,就将包括这些默认内容或备用文档。
XInclude 还支持部分 XML 包含,也就是说,您可以定义(通过提供 XPointer 指针)应当包括 XML 文档的哪一(些)部分。
下面是另一个介绍性示例,它演示了如何将外部非 XML 文本数据包含到 XML 文档中。假设您有一个存储在服务器上的 XML 文档,并且您想让它包含一个计数器,该计数器描述文档访问的次数:
This document has been accessed
times.
处理后html页面
This document has been accessed
45453 times.
xinclude语法
XInclude 语法非常简单,只是在 http://www.w3.org/2003/XInclude 命名空间中的两个元素,即 include 和 fallback。常用的命名空间前缀是“xi”(但可以根据喜好自由使用任何前缀)。对于那些习惯使用正式语法定义的人,XInclude 规范提供了XInclude 的 XML 架构和 DTD。对于其他人,下面是它的摘要:
xi:include 元素
xi:include 元素充当包括指令。它定义了要包括哪些文档以及如何包括。它的属性是:
href — 对要包括的文档的 URI 引用。
parse — 它的值可以是“xml”或“text”,用于定义如何包括指定的文档(是作为 XML 还是作为纯文本)。默认值是“xml”。
xpointer — 这是一个 XPointer,用于标识要包括的 XML 文档部分。如果作为文本包括 (parse=“text”),将忽略该属性。
encoding — 作为文本包括时,该属性提供所包括文档的编码提示信息。
详细的看上面的链接吧,那个写的很清楚,了解这个了,就可以做这个题了。
正式解题
username=>">
]>
&xxe;
">
上面是之前的payload,结合xinclude的格式可以写成
username=>">
再包含一次flag文件!!!
成功拿到flag,这个30分的题,so(ruo)easy(ji)。。。。
0x04 感想
哎,这个题总算是弄出来了,会的时候发现真简单,稍微有点学网络时的感觉了,基础真的很重要,确信!!!
这个过程太难了,问遍了所有的好友,所有的群,朋友们还帮我问各种大佬们,反正都是给网上的那个代码审计题的wp,那个题感觉根本做不了,因为没法闭合啊,又或者说看一下的,最后就没消息,又不好意思直接问出题人这个题的解法。。。
生气,生气,真的是很生气,半吊子真的有点惨,不上不下,简单的大佬懒得回答,复杂点的大佬懒得看,想帮你的人不会做,会做的人你又不认识,啥时候这玩意能学到我网络的水平,感觉这个路还长着,坚持学习!!!
人的一切痛苦,本质上都是对自己无能的愤怒
文章浏览阅读3.2w次,点赞16次,收藏90次。对于这个问题我也是从网上找了很久,终于解决了这个问题。首先遇到这个问题,应该确认虚拟机能不能正常的上网,就需要ping 网关,如果能ping通说明能正常上网,不过首先要用命令route -n来查看自己的网关,如下图:第一行就是默认网关。现在用命令ping 192.168.1.1来看一下结果:然后可以看一下电脑上面百度的ip是多少可以在linux里面ping 这个IP,结果如下:..._linux桥接ping不通baidu
文章浏览阅读512次。小妹在这里已经卡了2-3天了,研究了很多人的文章,除了低版本api 17有成功外,其他的不是channel null 就是没反应 (channel null已解决)拜托各位大大,帮小妹一下,以下是我的程式跟 gradle, 我在这里卡好久又没有人可问(哭)![image](/img/bVcL0Qo)public class MainActivity extends AppCompatActivit..._android 权限申请弹窗 横屏
文章浏览阅读1.4k次,点赞4次,收藏6次。valid padding(有效填充):完全不使用填充。half/same padding(半填充/相同填充):保证输入和输出的feature map尺寸相同。full padding(全填充):在卷积操作过程中,每个像素在每个方向上被访问的次数相同。arbitrary padding(任意填充):人为设定填充。..._cnn “相同填充”(same padding)
文章浏览阅读790次,点赞29次,收藏28次。手绘了下图所示的kafka知识大纲流程图(xmind文件不能上传,导出图片展现),但都可提供源文件给每位爱学习的朋友一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长![外链图片转存中…(img-Qpoc4gOu-1712656009273)][外链图片转存中…(img-bSWbNeGN-1712656009274)]
文章浏览阅读469次。Date对象取得年份有getYear和getFullYear两种方法经 测试var d=new Date;alert(d.getYear())在IE中返回 2009,在Firefox中会返回109。经查询手册,getYear在Firefox下返回的是距1900年1月1日的年份,这是一个过时而不被推荐的方法。而alert(d.getFullYear())在IE和FF中都会返回2009。因此,无论何时都应使用getFullYear来替代getYear方法。例如:2016年用 getFullYea_getyear和getfullyear
文章浏览阅读182次。Unix传奇(上篇) 陈皓 了解过去,我们才能知其然,更知所以然。总结过去,我们才会知道我们明天该如何去规划,该如何去走。在时间的滚轮中,许许多的东西就像流星一样一闪而逝,而有些东西却能经受着时间的考验散发着经久的魅力,让人津津乐道,流传至今。要知道明天怎么去选择,怎么去做,不是盲目地跟从今天各种各样琳琅满目前沿技术,而应该是去 —— 认认真真地了解和回顾历史。 Unix是目前还在存活的操作系_unix传奇pdf
文章浏览阅读308次。哈希算法:将字符串映射为数字形式,十分巧妙,一般运用为进制数,进制据前人经验,一般为131,1331时重复率很低,由于字符串的数字和会很大,所以一般为了方便,一般定义为unsigned long long,爆掉时,即为对 2^64 取模,可以对于任意子序列的值进行映射为数字进而进行判断入门题目链接:AC代码:#include<bits/stdc++.h>using na..._ac算法 哈希
文章浏览阅读952次,点赞13次,收藏27次。由于觉得Qt的编辑界面比较丑,所以想用vs2022的编辑器写Qt加MySQL的项目。_在vs中 如何装qt5sqlmysql模块
文章浏览阅读1k次。选择题题目:下面的哪个调研内容属于经济环境调研?()题目:()的目的就是加强与客户的沟通,它是是网络媒体也是网络营销的最重要特性。题目:4Ps策略中4P是指产品、价格、顾客和促销。题目:网络市场调研是目前最为先进的市场调研手段,没有任何的缺点或不足之处。题目:市场定位的基本参数有题目:市场需求调研可以掌握()等信息。题目:在开展企业网站建设时应做好以下哪几个工作。()题目:对企业网站首页的优化中,一定要注意下面哪几个方面的优化。()题目:()的主要作用是增进顾客关系,提供顾客服务,提升企业_画中画广告之所以能有较高的点击率,主要由于它具有以下特点
文章浏览阅读1k次,点赞2次,收藏5次。以爬取CSDN为例子:第一步:导入请求库第二步:打开请求网址第三步:打印源码import urllib.requestresponse=urllib.request.urlopen("https://www.csdn.net/?spm=1011.2124.3001.5359")print(response.read().decode('utf-8'))结果大概就是这个样子:好的,继续,看看打印的是什么类型的:import urllib.requestresponse=urllib.r_urlopen the read operation timed out
文章浏览阅读304次。修正sina.com/sina.cn邮箱获取不到联系人,并精简修改了其他邮箱代码,以下就是升级版版本的介绍:完整版本,整合了包括读取邮箱通讯录、MSN好友列表的的功能,目前读取邮箱通讯录支持如下邮箱:gmail(Y)、hotmail(Y)、 live(Y)、tom(Y)、yahoo(Y)(有点慢)、 sina(Y)、163(Y)、126(Y)、yeah(Y)、sohu(Y) 读取后可以发送邮件(完..._通讯录 应用读取 邮件 的相关
文章浏览阅读213次。云计算及虚拟化教程学习云计算、虚拟化和计算机网络的基本概念。此视频教程共2.0小时,中英双语字幕,画质清晰无水印,源码附件全课程英文名:Cloud Computing and Virtualization An Introduction百度网盘地址:https://pan.baidu.com/s/1lrak60XOGEqMOI6lXYf6TQ?pwd=ns0j课程介绍:https://www.aihorizon.cn/72云计算:概念、定义、云类型和服务部署模型。虚拟化的概念使用 Type-2 Hyperv_云计算与虚拟化技术 教改