WEB06: XXE

Lab: Exploiting XXE using external entities to retrieve files

This lab has a "Check stock" feature that parses XML input and returns any unexpected values in the response.

To solve the lab, inject an XML external entity to retrieve the contents of the /etc/passwd file.

Access vào bài lab, ở chức năng Check stock

Một POST request được gửi lên server với nội dung định dạng xml

Ta khai báo mới một external entity xxe trỏ đến nội dung file passwd và đọc được nội dung của file này

Lab: Exploiting XXE to perform SSRF attacks

This lab has a "Check stock" feature that parses XML input and returns any unexpected values in the response.

The lab server is running a (simulated) EC2 metadata endpoint at the default URL, which is http://169.254.169.254/. This endpoint can be used to retrieve data about the instance, some of which might be sensitive.

To solve the lab, exploit the XXE vulnerability to perform an SSRF attack that obtains the server's IAM secret access key from the EC2 metadata endpoint.

Gửi GET request đến server chạy EC2 metadata endpoint và đọc response thông qua XXE

Tiếp tục gửi đến endpoint latest của server này, ta được một endpoint khác là meta-data

Dựa theo link này, ta tiếp tục SSRF để tìm đến endpoint chứa IAM secret access key

-> Solve bài lab

Lab: Blind XXE with out-of-band interaction

This lab has a "Check stock" feature that parses XML input but does not display the result.

You can detect the blind XXE vulnerability by triggering out-of-band interactions with an external domain.

To solve the lab, use an external entity to make the XML parser issue a DNS lookup and HTTP request to Burp Collaborator.

Ở bài lab này yêu cầu detect XXE bằng kĩ thuật OOB nên ta sẽ tạo một burp collaborator server và solve bài lab với payload như sau

Lab: Blind XXE with out-of-band interaction via XML parameter entities

This lab has a "Check stock" feature that parses XML input, but does not display any unexpected values, and blocks requests containing regular external entities.

To solve the lab, use a parameter entity to make the XML parser issue a DNS lookup and HTTP request to Burp Collaborator.

Bài này khác so với các bài trước ở chỗ đó là server đã chặn và k parse external entity

Nhưng ta có thể bypass bằng cách sử dụng parameter entity và gửi một DNS lookup query đến burp collab client

-> Thành công solve bài lab

Lab: Exploiting blind XXE to exfiltrate data using a malicious external DTD

This lab has a "Check stock" feature that parses XML input but does not display the result.

To solve the lab, exfiltrate the contents of the /etc/hostname file.

Ở bài lab này, ta sẽ cần đọc nội dung file /etc/hostname và gửi đến exploit server. Lí thuyết sẽ như sau

• Defines an XML parameter entity called file, containing the contents of the /etc/hostname file.
• Defines an XML parameter entity called eval, containing a dynamic declaration of another XML parameter entity called exfiltrate. The exfiltrate entity will be evaluated by making an HTTP request to the attacker's web server containing the value of the file entity within the URL query string.
• Uses the eval entity, which causes the dynamic declaration of the exfiltrate entity to be performed.
• Uses the exfiltrate entity, so that its value is evaluated by requesting the specified URL.

Setup up exploit server

Gửi payload trigger XXE để vulnerable server fetch nội dung của file exploit.dtd và thực hiện parse file này

Kết quả

Submit solution và solve bài lab

Lab: Exploiting blind XXE to retrieve data via error messages

This lab has a "Check stock" feature that parses XML input but does not display the result.

To solve the lab, use an external DTD to trigger an error message that displays the contents of the /etc/passwd file.

The lab contains a link to an exploit server on a different domain where you can host your malicious DTD.

Bài lab này, ta có sử dụng kĩ thuật đọc nội dung của một file bất kì thông qua error message, lí thuyết như sau:

• Defines an XML parameter entity called file, containing the contents of the /etc/passwd file.
• Defines an XML parameter entity called eval, containing a dynamic declaration of another XML parameter entity called error. The error entity will be evaluated by loading a nonexistent file whose name contains the value of the file entity.
• Uses the eval entity, which causes the dynamic declaration of the error entity to be performed.
• Uses the error entity, so that its value is evaluated by attempting to load the nonexistent file, resulting in an error message containing the name of the nonexistent file, which is the contents of the /etc/passwd file.

Setup exploit server

Gửi payload trigger XXE và kết quả:

Lab: Exploiting XXE to retrieve data by repurposing a local DTD

This lab has a "Check stock" feature that parses XML input but does not display the result.

To solve the lab, trigger an error message containing the contents of the /etc/passwd file.

You'll need to reference an existing DTD file on the server and redefine an entity from it.

Lợi dụng load một local dtd file và sau đó định nghĩa lại một entity trong file đó, sau đó sử dụng kĩ thuật error message như lab trước để đọc content của một file bất kì. Lí thuyết cụ thể:

• Defines an XML parameter entity called local_dtd, containing the contents of the external DTD file that exists on the server filesystem.
• Redefines the XML parameter entity called custom_entity, which is already defined in the external DTD file. The entity is redefined as containing the error-based XXE exploit that was already described, for triggering an error message containing the contents of the /etc/passwd file.
• Uses the local_dtd entity, so that the external DTD is interpreted, including the redefined value of the custom_entity entity. This results in the desired error message.

Lab: Exploiting XInclude to retrieve files

This lab has a "Check stock" feature that embeds the user input inside a server-side XML document that is subsequently parsed.

Because you don't control the entire XML document you can't define a DTD to launch a classic XXE attack.

To solve the lab, inject an XInclude statement to retrieve the contents of the /etc/passwd file.

Ở bài này, server lấy input từ các trường productId và stockId để đưa vào một file XML và thực hiện parse file này. Ta không thể áp dụng kĩ thuật tấn công XXE bởi vì trong TH này không thể kiểm soát hoàn toàn nội dung của file XML. Vì thế có thể sử dụng một kĩ thuật khác để đọc nội dung file đó là XInclude, include một sub-document là file /etc/passwd:

Lab: Exploiting XXE via image file upload

This lab lets users attach avatars to comments and uses the Apache Batik library to process avatar image files.

To solve the lab, upload an image that displays the contents of the /etc/hostname file after processing. Then use the "Submit solution" button to submit the value of the server hostname.

XXE thông qua file upload, ở bài này server cho phép chúng ta chức năng upload avatar khi post comment, vì vậy ta có thể lợi dụng format của file svg để khai thác XXE. Tạo một file exploit.svg với content như sau:

Sau đó upload file này

Reload lại trang và một GET request để fetch file avatar trả về nội dung của /etc/hostname

Submit solution và solve bài lab

tags: portswigger