<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite svoju **kompaniju reklamiranu na HackTricks-u** ili da **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
XML je označni jezik dizajniran za skladištenje i prenos podataka, sa fleksibilnom strukturom koja omogućava korišćenje opisno nazvanih oznaka. Razlikuje se od HTML-a po tome što nije ograničen na skup unapred definisanih oznaka. Značaj XML-a je opao sa porastom JSON-a, uprkos njegovoj početnoj ulozi u AJAX tehnologiji.
* **Prikaz podataka putem Entiteta**: Entiteti u XML-u omogućavaju prikaz podataka, uključujući posebne karaktere poput `<` i `>`, koji odgovaraju `<` i `>` kako bi se izbegli konflikti sa XML-ovim sistemom oznaka.
* **Definisanje XML elemenata**: XML omogućava definisanje tipova elemenata, opisujući kako bi elementi trebalo da budu strukturirani i koji sadržaj mogu sadržati, od bilo kog tipa sadržaja do specifičnih podređenih elemenata.
* **Definicija Tipa Dokumenta (DTD)**: DTD-ovi su ključni u XML-u za definisanje strukture dokumenta i tipova podataka koje može sadržati. Mogu biti interni, eksterni ili kombinovani, vodeći načinom formatiranja i validacije dokumenata.
* **Prilagođeni i Spoljni Entiteti**: XML podržava kreiranje prilagođenih entiteta unutar DTD-a za fleksibilno prikazivanje podataka. Spoljni entiteti, definisani URL-om, izazivaju sigurnosne probleme, posebno u kontekstu napada spoljnim XML entitetima (XXE), koji iskorišćavaju način na koji XML parseri obrađuju spoljne izvore podataka: `<!DOCTYPE foo [ <!ENTITY myentity "vrednost" > ]>`
* **Detekcija XXE sa Parametarskim Entitetima**: Za otkrivanje XXE ranjivosti, posebno kada konvencionalne metode ne uspevaju zbog sigurnosnih mera parsera, mogu se koristiti XML parametarski entiteti. Ovi entiteti omogućavaju tehniku detekcije van opsega, poput pokretanja DNS upita ili HTTP zahteva ka kontrolisanom domenu, radi potvrde ranjivosti.
*`<!DOCTYPE foo [ <!ENTITY ext SYSTEM "file:///etc/passwd" > ]>`
*`<!DOCTYPE foo [ <!ENTITY ext SYSTEM "http://napadac.com" > ]>`
[**Većina ovih napada je testirana korišćenjem sjajnih Portswiggers XEE laboratorija: https://portswigger.net/web-security/xxe**](https://portswigger.net/web-security/xxe)
U **Java** baziranim aplikacijama moguće je **izlistati sadržaj direktorijuma** putem XXE sa payload-om poput (samo traženje direktorijuma umesto fajla):
Korišćenjem **prethodno komentovane tehnike** možete naterati server da pristupi serveru koji kontrolišete kako biste pokazali da je ranjiv. Međutim, ako to ne funkcioniše, možda je zato što **XML entiteti nisu dozvoljeni**, u tom slučaju možete pokušati koristiti **XML parametarske entitete**:
**U ovom slučaju ćemo naterati server da učita novi DTD sa zlonamernim payloadom koji će poslati sadržaj fajla putem HTTP zahteva (**za **višelinijske fajlove možete pokušati da ih izfiltrirate putem**_**ftp://**_**koristeći ovaj osnovni server na primer [**xxe-ftp-server.rb**](https://github.com/ONsec-Lab/scripts/blob/master/xxe-ftp-server.rb)**). Ovo objašnjenje se zasniva na** [**Portswiggers lab ovde**](https://portswigger.net/web-security/xxe/blind)**.**
* Kreira se XML parametarski entitet, `%file`, koji čita sadržaj fajla `/etc/hostname`.
* Definiše se još jedan XML parametarski entitet, `%eval`. Dinamički deklariše novi XML parametarski entitet, `%exfiltrate`. Entitet `%exfiltrate` je podešen da napravi HTTP zahtev ka serveru napadača, prosleđujući sadržaj entiteta `%file` u upitu URL adrese.
Ova payload definise XML parametarski entitet `%xxe` i inkorporira ga unutar DTD-a. Kada ga procesuira XML parser, ovaj payload dohvata spoljni DTD sa servera napadača. Parser zatim tumači DTD u liniji, izvršavajući korake navedene u zlonamernom DTD-u i dovodeći do ekstrakcije fajla `/etc/hostname` na server napadača.
**U ovom slučaju ćemo naterati server da učita zlonamerni DTD koji će prikazati sadržaj fajla unutar poruke o grešci (ovo je validno samo ako možete videti poruke o grešci).** [**Primer odavde.**](https://portswigger.net/web-security/xxe/blind)
Poruka o grešci pri parsiranju XML-a, otkriva sadržaj fajla `/etc/passwd`, može biti izazvana korišćenjem zlonamernog spoljnog Document Type Definition (DTD). Ovo se postiže kroz sledeće korake:
1. Definiše se XML parametarski entitet nazvan `file`, koji sadrži sadržaj fajla `/etc/passwd`.
2. Definiše se XML parametarski entitet nazvan `eval`, inkorporirajući dinamičku deklaraciju za drugi XML parametarski entitet nazvan `error`. Ovaj entitet `error`, kada se evaluira, pokušava da učita nepostojeći fajl, inkorporirajući sadržaj `file` entiteta kao njegovo ime.
3. Poziva se entitet `eval`, dovodeći do dinamičke deklaracije entiteta `error`.
4. Pozivanje entiteta `error` rezultira pokušajem učitavanja nepostojećeg fajla, proizvodeći poruku o grešci koja uključuje sadržaj fajla `/etc/passwd` kao deo imena fajla.
Rupa u specifikaciji XML jezika može **izložiti osetljive podatke putem poruka o greškama kada se DTD dokumenta meša interne i eksterne deklaracije**. Ovaj problem omogućava unutrašnje predefinisanje entiteta deklarisanih spolja, olakšavajući izvršenje napada XXE zasnovanih na greškama. Takvi napadi iskorišćavaju predefinisanje XML parametarskog entiteta, koji je prvobitno deklarisan u spoljnom DTD-u, unutar internog DTD-a. Kada su spoljašnje veze blokirane od strane servera, napadači moraju da se oslone na lokalne DTD datoteke kako bi sproveli napad, sa ciljem izazivanja greške u parsiranju radi otkrivanja osetljivih informacija.
Razmotrite scenarijo u kojem sistemski fajl servera sadrži DTD fajl na lokaciji `/usr/local/app/schema.dtd`, koji definiše entitet nazvan `custom_entity`. Napadač može izazvati grešku u parsiranju XML-a otkrivajući sadržaj fajla `/etc/passwd` podnošenjem hibridnog DTD-a na sledeći način:
* Definicija XML parametarskog entiteta nazvanog `local_dtd` uključuje eksterni DTD fajl smešten na serverskom fajl sistemu.
* Dolazi do redefinicije XML parametarskog entiteta `custom_entity`, koji je prvobitno definisan u eksternom DTD-u, kako bi obuhvatio [exploit zasnovan na XXE grešci](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages). Ova redefinicija je osmišljena da izazove grešku pri parsiranju, otkrivajući sadržaj fajla `/etc/passwd`.
* Korišćenjem entiteta `local_dtd`, angažuje se eksterni DTD, obuhvatajući novo definisani `custom_entity`. Ova sekvenca radnji izaziva emitovanje greške koju exploit cilja.
**Primer iz stvarnog sveta:** Sistemi koji koriste GNOME desktop okruženje često imaju DTD na lokaciji `/usr/share/yelp/dtd/docbookx.dtd` koji sadrži entitet nazvan `ISOamso`.
Kako ova tehnika koristi **unutrašnji DTD, prvo morate pronaći validan**. To možete uraditi **instaliranjem** istog **OS / softvera** koji server koristi i **pretraživanjem nekih podrazumevanih DTD-ova**, ili **preuzimanjem liste** podrazumevanih DTD-ova unutar sistema i **proverom** da li neki od njih postoji:
Osim toga, ako imate **Docker sliku žrtvenog sistema**, možete koristiti alat istog repozitorijuma da **skenirate****sliku** i **pronađete** putanju **DTD-ova** prisutnih unutar sistema. Pročitajte [Readme na github-u](https://github.com/GoSecure/dtd-finder) da saznate kako.
Za detaljnije objašnjenje ovog napada, **proverite drugi odeljak** [**ove neverovatne objave**](https://labs.detectify.com/2021/09/15/obscure-xxe-attacks/) **iz Detectify-a**.
Mogućnost **učitavanja Microsoft Office dokumenata nudi se u mnogim web aplikacijama**, koje zatim izvlače određene detalje iz ovih dokumenata. Na primer, web aplikacija može dozvoliti korisnicima da uvezu podatke učitavanjem tabele u XLSX formatu. Da bi analizator izvukao podatke iz tabele, neizbežno će morati da analizira barem jedan XML fajl.
Da biste testirali ovu ranjivost, potrebno je kreirati **Microsoft Office fajl koji sadrži XXE payload**. Prvi korak je kreiranje praznog direktorijuma u koji će dokument biti raspakovan.
Kada je dokument raspakovan, XML fajl lociran na `./unzipped/word/document.xml` treba da se otvori i izmeni u željenom tekst editoru (kao što je vim). XML treba da se izmeni da uključi željeni XXE payload, često počevši sa HTTP zahtevom.
Na kraju, fajl se može zapakovati da se kreira zlonamerni poc.docx fajl. Iz prethodno kreiranog direktorijuma "unzipped", treba pokrenuti sledeću komandu:
**Jar** protokol je dostupan isključivo unutar **Java aplikacija**. Namenski je dizajniran da omogući pristup fajlovima unutar **PKZIP** arhive (npr. `.zip`, `.jar`, itd.), podržavajući lokalne i udaljene fajlove.
Da biste mogli da pristupite datotekama unutar PKZIP datoteka je **izuzetno korisno zloupotrebiti XXE putem sistema DTD datoteka.** Proverite [ovaj odeljak da biste naučili kako da zloupotrebite sistem DTD datoteke](xxe-xee-xml-external-entity.md#error-based-system-dtd).
Interesantna tehnika za prekid ovog procesa u drugom koraku uključuje održavanje otvorene server konekcije neograničeno dok se servira arhivska datoteka. Alati dostupni na [ovom repozitorijumu](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution) mogu se koristiti u tu svrhu, uključujući Python server (`slow_http_server.py`) i Java server (`slowserver.jar`).
Pisanje datoteka u privremeni direktorijum može pomoći u **povećanju druge ranjivosti koja uključuje prolazak putanje** (kao što su lokalno uključivanje datoteka, ubacivanje predložaka, XSLT RCE, deserijalizacija, itd).
Prilikom integracije klijentskih podataka u serverske XML dokumente, poput onih u pozadinskim SOAP zahtevima, direktna kontrola nad XML strukturom često je ograničena, ometajući tradicionalne XXE napade zbog ograničenja u modifikaciji `DOCTYPE` elementa. Međutim, `XInclude` napad pruža rešenje omogućavajući umetanje spoljnih entiteta unutar bilo kog podatkovnog elementa XML dokumenta. Ovaj metod je efikasan čak i kada se može kontrolisati samo deo podataka unutar serverski generisanog XML dokumenta.
Za izvođenje `XInclude` napada, `XInclude` namespace mora biti deklarisan, a putanja datoteke za namenjeni spoljni entitet mora biti navedena. U nastavku je sažet primer kako se takav napad može formulisati:
Datoteke koje korisnici otpremaju na određene aplikacije, a zatim se obrađuju na serveru, mogu iskoristiti ranjivosti u načinu na koji se XML ili datoteke koje sadrže XML obrađuju. Uobičajeni formati datoteka poput kancelarijskih dokumenata (DOCX) i slika (SVG) zasnovani su na XML-u.
Kada korisnici **pošalju slike**, te slike se obrađuju ili proveravaju na serveru. Čak i za aplikacije koje očekuju formate poput PNG ili JPEG, **biblioteka za obradu slika na serveru takođe može podržavati SVG slike**. SVG, kao format zasnovan na XML-u, može biti iskorišćen od strane napadača za slanje zlonamernih SVG slika, čime se server izlaže ranjivostima na XXE (XML External Entity).
U oba slučaja, SVG format se koristi za pokretanje napada koji iskorišćavaju mogućnosti obrade XML-a softvera servera, ističući potrebu za robustnom validacijom unosa i sigurnosnim merama.
**Napomena: Prva linija pročitanog fajla ili rezultata izvršenja će se pojaviti UNUTAR kreiranog slike. Dakle, morate moći da pristupite slici koju je SVG kreirao.**
Da biste promenili zahtev, možete koristiti Burp ekstenziju pod nazivom "**Content Type Converter**". [Ovde](https://exploitstube.com/xxe-for-fun-and-profit-converting-json-request-to-xml.html) možete pronaći ovaj primer:
Možete koristiti \[**"Encode Recipe**" of cyberchef ovde ]\(\[[https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) transformisati u UTF-7.
Ako web koristi PHP, umesto korišćenja `file:/` možete koristiti **php omotače**`php://filter/convert.base64-encode/resource=` da **pristupite internim fajlovima**.
Možete kreirati **entitet unutar entiteta** enkodirajući ga sa **html entitetima** i zatim ga pozvati da **učita dtd**.\
Imajte na umu da **HTML Entiteti** koji se koriste moraju biti **numerički** (kao \[u ovom primeru]\([https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,'Numeric entities'%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\\](https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,%27Numeric%20entities%27%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B\)%5C)).
Ovaj primer je inspirisan [https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe](https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe)
XLIFF (XML Localization Interchange File Format) se koristi za standardizaciju razmene podataka u procesima lokalizacije. To je format zasnovan na XML-u koji se uglavnom koristi za prenos lokalizovanih podataka između alata tokom lokalizacije i kao zajednički format razmene za CAT (računarski podržani prevod) alate.
{"status":500,"error":"Internal Server Error","message":"Error systemId: http://redacted.burpcollaborator.net/?xxe_test; The markup declarations contained or pointed to by the document type declaration must be well-formed."}
Ovaj pristup otkriva da User Agent pokazuje korišćenje Java 1.8. Primećeno ograničenje ove verzije Jave je nemogućnost povlačenja datoteka koje sadrže znak nove linije, poput /etc/passwd, korišćenjem Out of Band tehnike.
Izvođenje podataka zasnovano na greškama Da bi se prevazišlo ovo ograničenje, koristi se pristup zasnovan na greškama. DTD datoteka je strukturirana na sledeći način kako bi izazvala grešku koja uključuje podatke iz ciljne datoteke:
Ova modifikacija dovodi do uspešne ekstrakcije sadržaja datoteke, kako je prikazano u izlaznoj grešci poslatoj putem HTTP-a. Ovo ukazuje na uspešan XXE (XML External Entity) napad, koristeći i Out of Band i Error-Based tehnike za izvlačenje osetljivih informacija.
XMLDecoder je Java klasa koja kreira objekte na osnovu XML poruke. Ako zlonamerni korisnik može naterati aplikaciju da koristi proizvoljne podatke u pozivu metode **readObject**, odmah će dobiti izvršenje koda na serveru.
* Izvlačenje informacija putem HTTP-a korišćenjem sopstvenog eksternog DTD-a: [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\\
<summary><strong>Naučite hakovanje AWS-a od nule do heroja sa</strong><ahref="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
* Ako želite da vidite **vašu kompaniju reklamiranu na HackTricks-u** ili **preuzmete HackTricks u PDF formatu** proverite [**PLANOVE ZA PRIJAVU**](https://github.com/sponsors/carlospolop)!
* **Pridružite se** 💬 [**Discord grupi**](https://discord.gg/hRep4RUj7f) ili [**telegram grupi**](https://t.me/peass) ili nas **pratite** na **Twitteru** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
