Fórum Root.cz

Ostatní => Odkladiště => Téma založeno: mikesznovu 07. 03. 2023, 17:08:36

Název: Je možné získání dat skrze XXE?
Přispěvatel: mikesznovu 07. 03. 2023, 17:08:36

Zde (https://en.m.wikipedia.org/wiki/Algorithmic_complexity_attack) v sekci "exponential"

Jak se s tím dají vyčítat data? Připadá mi to jako nepodložená senzace... Napadají mě snad jen2cesty: buffer overflow ;a chybová hláška, která  odhalí max.cestu zpracujicího sktiptu

Citace

server APIs, and customer information can be stolen through XML attacks.

XXE attack when performed successfully can disclose local files in the file system of the website. 

Název: Re:zídkání dat skrze XXE vulnerability možné?
Přispěvatel: Filip Jirsák 07. 03. 2023, 17:55:04

XXE znamená, že můžete donutit XML parser, aby četl data z externích zdrojů, ke kterým jinak nemáte přístup – třeba k lokálnímu souborovému systému počítače, kde běží parser. Načtená data se pak stanou součástí parsovaného dokumentu, takže když se k nim dostanete (třeba se propíšou na výstup), získáte k nim přístup. Nebo naopak máte nějaká data tam, kde běží XML parser, a potřebujete je dostat ven – pokud nejsou moc velká, můžete je přidat do adresy toho externího zdroje (třeba jako parametry), a parser pak nasměrujete pomocí XXE na svůj server, kde si ty parametry přečtete.

Název: Re:Je možné získání dat skrze XXE?
Přispěvatel: Vít Šesták (v6ak) 08. 03. 2023, 14:53:02

Hlavní bylo již odpovězeno, okomentuju jen chybovou hlášku. To sice asi nebude u XXE hlavní cesta, ale obecně bych chybové hlášky nepodceňoval. Když se člověk snaží, někdy dokáže do chybové hlášky dostat zajímavé informace. Vzpomínám si, že jsem si takto kdysi hrál s MySQL, kde nějaká funkce při špatném vstupu jej vypsala do chybové hlášky.

Název: Re:Je možné získání dat skrze XXE?
Přispěvatel: mikesznovu 08. 03. 2023, 15:55:19

Aha, donucení čtení lokálního zdroje, to mě vůbec nenapadlo. Tedy něco jako v php skript  co má umět načítat  externí url http, ale dá se tam podstrčit  (cesta k)file. ... Tuším že curl, fopen a čachrování s stream://

   Jak?


Já tam viděl jen ty  makra "laughing bomb" (definice c : b,b,b,b,b, ; d : c,c,c,cc; e:d,d,d,d,d ... Výsledek c: n^k dlouhý řetězec)

Název: Re:Je možné získání dat skrze XXE?
Přispěvatel: Filip Jirsák 08. 03. 2023, 17:28:22

Tady to máte i s jednoduchými příklady: OWASP: XML External Entity (XXE) Processing (https://owasp.org/www-community/vulnerabilities/XML_External_Entity_(XXE)_Processing)

Název: Re:Je možné získání dat skrze XXE?
Přispěvatel: pangolin 09. 03. 2023, 11:07:52

Nebo třeba tady je write-up (https://github.com/engycz/CTF/tree/main/2022%20-%20The%20Catch/15_XML_Prettifier) (česky) z The Catch 2022 pro úkol s XXE zranitelností.