<summary><strong>Apprenez le piratage AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
Autres moyens de soutenir HackTricks :
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez** moi sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de piratage en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
**La plupart de cette partie a été prise de cette incroyable page Portswigger :** [**https://portswigger.net/web-security/xxe/xml-entities**](https://portswigger.net/web-security/xxe/xml-entities)
XML signifie "extensible markup language". XML est un langage conçu pour stocker et transporter des données. Comme HTML, XML utilise une structure arborescente de balises et de données. Contrairement à HTML, XML n'utilise pas de balises prédéfinies, et donc les balises peuvent être nommées pour décrire les données. Plus tôt dans l'histoire du web, XML était à la mode comme format de transport de données (le "X" dans "AJAX" signifie "XML"). Mais sa popularité a maintenant décliné en faveur du format JSON.
Les entités XML sont un moyen de représenter un élément de données au sein d'un document XML, au lieu d'utiliser les données elles-mêmes. Diverses entités sont intégrées à la spécification du langage XML. Par exemple, les entités `<` et `>` représentent les caractères `<` et `>`. Ce sont des métacaractères utilisés pour dénoter les balises XML, et doivent donc généralement être représentés en utilisant leurs entités lorsqu'ils apparaissent dans les données.
Les déclarations de type d'élément définissent les règles pour le type et le nombre d'éléments qui peuvent apparaître dans un document XML, quels éléments peuvent apparaître les uns dans les autres, et dans quel ordre ils doivent apparaître. Par exemple :
La définition de type de document XML (DTD) contient des déclarations qui peuvent définir la structure d'un document XML, les types de valeurs de données qu'il peut contenir, et d'autres éléments. La DTD est déclarée dans l'élément `DOCTYPE` optionnel au début du document XML. La DTD peut être entièrement autonome dans le document lui-même (connue sous le nom de "DTD interne") ou peut être chargée d'ailleurs (connue sous le nom de "DTD externe") ou peut être un hybride des deux.
Cette définition signifie que toute utilisation de la référence d'entité `&myentity;` dans le document XML sera remplacée par la valeur définie : "`ma valeur d'entité`".
Les entités externes XML sont un type d'entité personnalisée dont la définition se trouve à l'extérieur de la DTD où elles sont déclarées.
La déclaration d'une entité externe utilise le mot-clé `SYSTEM` et doit spécifier une URL à partir de laquelle la valeur de l'entité doit être chargée. Par exemple :
Les entités externes XML fournissent le principal moyen par lequel les [attaques par entité externe XML](https://portswigger.net/web-security/xxe) se produisent.
Parfois, les attaques XXE utilisant des entités régulières sont bloquées, en raison d'une certaine validation des entrées par l'application ou d'un renforcement de l'analyseur XML utilisé. Dans cette situation, vous pourriez être en mesure d'utiliser des entités de paramètre XML à la place. Les entités de paramètre XML sont un type spécial d'entité XML qui ne peut être référencé qu'ailleurs dans la DTD. Pour nos besoins actuels, vous n'avez besoin de savoir que deux choses. Premièrement, la déclaration d'une entité de paramètre XML inclut le caractère pourcentage avant le nom de l'entité :
Et deuxièmement, les entités de paramètre sont référencées en utilisant le caractère pourcentage au lieu de l'esperluette habituelle : `%myparameterentity;`
Cette charge utile XXE déclare une entité de paramètre XML appelée `xxe` et utilise ensuite l'entité dans la DTD. Cela provoquera une recherche DNS et une requête HTTP vers le domaine de l'attaquant, vérifiant que l'attaque a réussi.
[La plupart de ces attaques ont été testées en utilisant les excellents laboratoires XEE de Portswiggers : https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe)
Dans les applications basées sur **Java**, il pourrait être possible de **lister le contenu d'un répertoire** via XXE avec une charge utile comme (en demandant simplement le répertoire au lieu du fichier) :
En utilisant la **technique précédemment commentée**, vous pouvez amener le serveur à accéder à un serveur que vous contrôlez pour montrer sa vulnérabilité. Mais, si cela ne fonctionne pas, peut-être est-ce parce que les **entités XML ne sont pas autorisées**, dans ce cas, vous pourriez essayer d'utiliser des **entités de paramètres XML** :
**Pour cette occasion, nous allons faire en sorte que le serveur charge une nouvelle DTD avec un payload malveillant qui enverra le contenu d'un fichier via une requête HTTP (pour les fichiers multi-lignes, vous pourriez essayer de les exfiltrer via** _**ftp://**_**). Cette explication est tirée du** [**laboratoire de Portswigger ici**](https://portswigger.net/web-security/xxe/blind)**.**
* Définit une entité de paramètre XML appelée `eval`, contenant une déclaration dynamique d'une autre entité de paramètre XML appelée `exfiltrate`. L'entité `exfiltrate` sera évaluée en effectuant une requête HTTP vers le serveur web de l'attaquant contenant la valeur de l'entité `file` dans la chaîne de requête de l'URL.
* Utilise l'entité `eval`, ce qui provoque l'exécution de la déclaration dynamique de l'entité `exfiltrate`.
* Utilise l'entité `exfiltrate`, de sorte que sa valeur est évaluée en demandant l'URL spécifiée.
L'attaquant doit ensuite héberger le DTD malveillant sur un système qu'il contrôle, normalement en le chargeant sur son propre serveur web. Par exemple, l'attaquant pourrait servir le DTD malveillant à l'URL suivante :\
Ce payload XXE déclare une entité de paramètre XML appelée `xxe` puis utilise l'entité dans la DTD. Cela amènera l'analyseur XML à récupérer la DTD externe depuis le serveur de l'attaquant et à l'interpréter en ligne. Les étapes définies dans la DTD malveillante sont ensuite exécutées, et le fichier `/etc/passwd` est transmis au serveur de l'attaquant.
**Dans ce cas, nous allons faire en sorte que le serveur charge une DTD malveillante qui affichera le contenu d'un fichier à l'intérieur d'un message d'erreur (ceci est seulement valide si vous pouvez voir les messages d'erreur).** [**Exemple d'ici.**](https://portswigger.net/web-security/xxe/blind)
Vous pouvez déclencher un message d'erreur d'analyse XML contenant le contenu du fichier `/etc/passwd` en utilisant une DTD externe malveillante comme suit :
* Définit une entité de paramètre XML appelée `file`, contenant le contenu du fichier `/etc/passwd`.
* Définit une entité de paramètre XML appelée `eval`, contenant une déclaration dynamique d'une autre entité de paramètre XML appelée `error`. L'entité `error` sera évaluée en chargeant un fichier inexistant dont le nom contient la valeur de l'entité `file`.
* Utilise l'entité `eval`, ce qui provoque la déclaration dynamique de l'entité `error`.
* Utilise l'entité `error`, de sorte que sa valeur est évaluée en tentant de charger le fichier inexistant, résultant en un message d'erreur contenant le nom du fichier inexistant, qui est le contenu du fichier `/etc/passwd`.
_**Veuillez noter que le DTD externe nous permet d'inclure une entité à l'intérieur de la seconde (****`eval`****), mais cela est interdit dans le DTD interne. Par conséquent, vous ne pouvez pas forcer une erreur sans utiliser un DTD externe (habituellement).**_
Alors, que faire avec les vulnérabilités XXE aveugles lorsque **les interactions hors bande sont bloquées** (les connexions externes ne sont pas disponibles) ?. [Informations d'ici](https://portswigger.net/web-security/xxe/blind).
Dans cette situation, il peut encore être possible de **déclencher des messages d'erreur contenant des données sensibles**, en raison d'une faille dans la spécification du langage XML. Si le **DTD d'un document utilise un hybride de déclarations DTD internes et externes**, alors le **DTD interne peut redéfinir des entités qui sont déclarées dans le DTD externe**. Lorsque cela se produit, la restriction sur l'utilisation d'une entité de paramètre XML à l'intérieur de la définition d'une autre entité de paramètre est assouplie.
Cela signifie qu'un attaquant peut employer la technique XXE basée sur l'erreur **depuis un DTD interne**, à condition que l'entité de paramètre XML qu'ils utilisent soit **redéfinissant une entité qui est déclarée dans un DTD externe**. Bien sûr, si les connexions hors bande sont bloquées, alors le DTD externe ne peut pas être chargé depuis un emplacement distant. Au lieu de cela, il doit s'agir d'un **fichier DTD externe qui est local au serveur d'application**. _Essentiellement, l'attaque implique d'invoquer un fichier DTD qui se trouve exister sur le système de fichiers local et de le réutiliser pour redéfinir une entité existante d'une manière qui déclenche une erreur d'analyse contenant des données sensibles._
Par exemple, supposons qu'il y a un fichier DTD sur le système de fichiers du serveur à l'emplacement `/usr/local/app/schema.dtd`, et que ce fichier DTD définit une entité appelée `custom_entity`. Un attaquant peut déclencher un message d'erreur d'analyse XML contenant le contenu du fichier `/etc/passwd` en soumettant un DTD hybride comme suit :
* Définit une entité de paramètre XML appelée `local_dtd`, contenant le contenu du fichier DTD externe qui existe sur le système de fichiers du serveur.
* Redéfinit l'entité de paramètre XML appelée `custom_entity`, qui est déjà définie dans le fichier DTD externe. L'entité est redéfinie comme contenant l'[exploit XXE basé sur les erreurs](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages) qui a déjà été décrit, pour déclencher un message d'erreur contenant le contenu du fichier `/etc/passwd`.
* Utilise l'entité `local_dtd`, de sorte que le DTD externe soit interprété, y compris la valeur redéfinie de l'entité `custom_entity`. Cela aboutit au message d'erreur souhaité.
**Exemple réel :** Les systèmes utilisant l'environnement de bureau GNOME ont souvent un DTD à `/usr/share/yelp/dtd/docbookx.dtd` contenant une entité appelée `ISOamso`.
Comme cette technique utilise une **DTD interne, vous devez d'abord en trouver une valide**. Vous pourriez faire cela en **installant** le même **système d'exploitation / logiciel** que le serveur utilise et en **recherchant des DTD par défaut**, ou en **récupérant une liste** de **DTD par défaut** dans les systèmes et en **vérifiant** si l'une d'entre elles existe :
De plus, si vous avez **l'image Docker du système victime**, vous pouvez utiliser l'outil du même dépôt pour **scanner** l'**image** et **trouver** le chemin des **DTDs** présents dans le système. Lisez le [Readme du github](https://github.com/GoSecure/dtd-finder) pour apprendre comment faire.
Pour une explication plus approfondie de cette attaque, **consultez la deuxième section de [cet excellent article](https://labs.detectify.com/2021/09/15/obscure-xxe-attacks/) de Detectify**.
La capacité à **téléverser des documents Microsoft Office est proposée par de nombreuses applications web**, qui extraient ensuite certains détails de ces documents. Par exemple, une application web peut permettre aux utilisateurs d'importer des données en téléversant un tableau au format XLSX. Pour que le parseur puisse extraire les données du tableau, il devra inévitablement analyser au moins un fichier XML.
Pour tester cette vulnérabilité, il est nécessaire de créer un **fichier Microsoft Office contenant une charge utile XXE**. La première étape consiste à créer un répertoire vide dans lequel le document peut être décompressé.
Une fois le document décompressé, le fichier XML situé à `./unzipped/word/document.xml` doit être ouvert et édité dans un éditeur de texte de prédilection (tel que vim). Le XML doit être modifié pour inclure la charge utile XXE désirée, souvent en commençant par une requête HTTP.
Les lignes XML modifiées doivent être insérées entre les deux objets racine XML. Il est important de remplacer l'URL par une URL monitorable pour les requêtes.
Enfin, le fichier peut être recompressé pour créer le fichier poc.docx malveillant. Depuis le répertoire "unzipped" précédemment créé, la commande suivante doit être exécutée :
Maintenant, le fichier créé peut être téléversé sur l'application web potentiellement vulnérable, et l'on peut espérer qu'une requête apparaisse dans les journaux de Burp Collaborator.
Le protocole `jar` est disponible uniquement sur les **applications Java**. Il permet d'accéder aux fichiers à l'intérieur d'un fichier **PKZIP** (`.zip`, `.jar`, ...) et fonctionne pour les fichiers locaux et distants :
Pouvoir accéder aux fichiers à l'intérieur des fichiers PKZIP est **extrêmement utile pour abuser de XXE via les fichiers DTD système.** Consultez [cette section pour apprendre à abuser des fichiers DTD système](xxe-xee-xml-external-entity.md#error-based-system-dtd).
Notez qu'il est possible d'arrêter le flux à la deuxième étape. L'astuce consiste à ne jamais fermer la connexion lors de la fourniture du fichier. [Ces outils peuvent être utiles](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution) : un en python `slow_http_server.py` et un en java `slowserver.jar`.
Une fois que le serveur a téléchargé votre fichier, vous devez trouver son emplacement en parcourant le répertoire temporaire. Étant aléatoire, le chemin du fichier ne peut pas être prédit à l'avance.
Écrire des fichiers dans un répertoire temporaire peut aider à **escalader une autre vulnérabilité impliquant un parcours de chemin** (tel que l'inclusion de fichier local, l'injection de template, le RCE XSLT, la désérialisation, etc).
Certaines applications **reçoivent des données soumises par le client, les intègrent côté serveur dans un document XML, puis analysent le document**. Un exemple de cela se produit lorsque des données soumises par le client sont placées dans une **requête SOAP backend**, qui est ensuite traitée par le service SOAP backend.
Dans cette situation, vous ne pouvez pas réaliser une attaque XXE classique, car **vous ne contrôlez pas l'ensemble du document XML** et donc ne pouvez pas définir ou modifier un élément `DOCTYPE`. Cependant, vous pourriez être en mesure d'utiliser `XInclude` à la place. `XInclude` fait partie de la spécification XML qui permet à un document XML d'être construit à partir de sous-documents. Vous pouvez placer une attaque `XInclude` dans n'importe quelle valeur de données dans un document XML, donc l'attaque peut être réalisée dans des situations où vous ne contrôlez qu'un seul élément de données qui est placé dans un document XML côté serveur.
Pour réaliser une attaque `XInclude`, vous devez référencer l'espace de noms `XInclude` et fournir le chemin vers le fichier que vous souhaitez inclure. Par exemple :
Certaines applications permettent aux utilisateurs de téléverser des fichiers qui sont ensuite traités côté serveur. Certains formats de fichiers courants utilisent XML ou contiennent des sous-composants XML. Des exemples de formats basés sur XML sont les formats de documents de bureau comme DOCX et les formats d'images comme SVG.
Par exemple, une application pourrait permettre aux utilisateurs de **téléverser des images**, et de les traiter ou de les valider sur le serveur après leur téléversement. Même si l'application s'attend à recevoir un format comme PNG ou JPEG, **la bibliothèque de traitement d'images utilisée pourrait supporter les images SVG**. Puisque le format SVG utilise XML, un attaquant peut soumettre une image SVG malveillante et ainsi atteindre une surface d'attaque cachée pour les vulnérabilités XXE.
**Notez que la première ligne du fichier lu ou du résultat de l'exécution apparaîtra À L'INTÉRIEUR de l'image créée. Vous devez donc être capable d'accéder à l'image que SVG a créée.**
Si une requête POST accepte les données au format XML, vous pourriez essayer d'exploiter une XXE dans cette requête. Par exemple, si une requête normale contient ce qui suit :
Pour modifier la requête, vous pourriez utiliser une extension Burp nommée "**Content Type Converter**". [Ici](https://exploitstube.com/xxe-for-fun-and-profit-converting-json-request-to-xml.html), vous pouvez trouver cet exemple :
Vous pouvez utiliser la \[**"Encode Recipe**" de cyberchef ici ]\(\[[https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) pour transformer en UTF-7.
Si le web utilise PHP, au lieu d'utiliser `file:/`, vous pouvez utiliser **les wrappers PHP**`php://filter/convert.base64-encode/resource=` pour **accéder aux fichiers internes**.
Notez que les **Entités HTML** utilisées doivent être **numériques** (comme \[dans cet exemple]\([https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,'Numeric entities'%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\\](https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,%27Numeric%20entities%27%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B\)%5C)).
Cette section est tirée de [https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe](https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe)\
> XLIFF (XML Localization Interchange File Format) est un format de bitexte basé sur XML créé pour standardiser la manière dont les données localisables sont transmises entre les outils et parmi eux pendant un processus de localisation et un format commun pour l'échange d'outils CAT.
{"status":500,"error":"Internal Server Error","message":"Error systemId: http://redacted.burpcollaborator.net/?xxe_test; The markup declarations contained or pointed to by the document type declaration must be well-formed."}
XMLDecoder est une classe Java qui crée des objets basés sur un message XML. Si un utilisateur malveillant peut amener une application à utiliser des données arbitraires dans un appel à la méthode **readObject**, il obtiendra instantanément l'exécution de code sur le serveur.
Extraire des informations via HTTP en utilisant un DTD externe propre : [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\
<summary><strong>Apprenez le hacking AWS de zéro à héros avec</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong> !</strong></summary>
* Si vous souhaitez voir votre **entreprise annoncée dans HackTricks** ou **télécharger HackTricks en PDF**, consultez les [**PLANS D'ABONNEMENT**](https://github.com/sponsors/carlospolop)!
* Obtenez le [**merchandising officiel PEASS & HackTricks**](https://peass.creator-spring.com)
* Découvrez [**La Famille PEASS**](https://opensea.io/collection/the-peass-family), notre collection d'[**NFTs**](https://opensea.io/collection/the-peass-family) exclusifs
* **Rejoignez le** 💬 [**groupe Discord**](https://discord.gg/hRep4RUj7f) ou le [**groupe Telegram**](https://t.me/peass) ou **suivez-moi** sur **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.**
* **Partagez vos astuces de hacking en soumettant des PR aux dépôts github** [**HackTricks**](https://github.com/carlospolop/hacktricks) et [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
