rwx4m - Day 5: XXE

The days in Wareville flew by, and Software's projects were nearly complete, just in time for Christmas. One evening, after wrapping up work, Software was strolling through the town when he came across a young boy looking dejected. Curious, Software asked, "What would you like for Christmas?" The boy replied with a sigh, "I wish for a teddy bear, but I know that my family can't afford one."

This brief conversation sparked an idea in Software's mind—what if there was a platform where everyone in town could share their Christmas wishes, and the Mayor's office could help make them come true? Excited by the potential, Software introduced the idea to Mayor Malware, who embraced it immediately. The Mayor encouraged the team to build the platform for the people of Wareville.

Through the developers' dedication and effort, the platform was soon ready and became an instant hit. The townspeople loved it! However, in their rush to meet the holiday deadline, the team had overlooked something critical—thorough security testing. Even Mayor Malware had chipped in to help develop a feature in the final hours. Now, it's up to you to ensure the application is secure and free of vulnerabilities. Can you guarantee the platform runs safely for the people of Wareville?

Konsep Penting: XML, DTD, dan XXE

XML (Extensible Markup Language)
XML adalah format yang digunakan untuk mengangkut dan menyimpan data secara terstruktur agar mudah dipahami oleh manusia dan mesin. XML menggunakan tag untuk memberi label dan mengorganisasi data, mirip seperti dokumen dalam folder pada lemari arsip. Contohnya:

<name>Glitch</name>

<address>Wareville</address>

<email>glitch@wareville.com</email>

</people>

Di sini, tag seperti <name> dan <address> menyimpan data terkait, seperti "Glitch" atau "Wareville." XML fleksibel karena pengguna dapat membuat tag sesuai kebutuhan.

DTD (Document Type Definition)
DTD adalah aturan yang menentukan struktur XML. DTD memastikan dokumen XML memiliki elemen dan atribut yang sesuai. Sebagai contoh:

<!DOCTYPE people [

<!ELEMENT people(name, address, email, phone)>

<!ELEMENT name (#PCDATA)>

<!ELEMENT address (#PCDATA)>

<!ELEMENT email (#PCDATA)>

<!ELEMENT phone (#PCDATA)>

Aturan di atas mendefinisikan bahwa dokumen XML harus memiliki elemen name, address, email, dan phone dengan tipe data teks biasa (#PCDATA).

Entities
Entity dalam XML adalah placeholder yang dapat mereferensikan data besar atau file eksternal. Misalnya:

<!DOCTYPE people [

<!ENTITY ext SYSTEM "http://tryhackme.com/robots.txt">

<name>Glitch</name>

<email>glitch@wareville.com</email>

</people>

Dalam contoh ini, entity &ext; mereferensikan data dari sumber eksternal.

XXE (XML External Entity)
XXE adalah serangan yang mengeksploitasi cara parser XML menangani external entity. Ketika aplikasi web memproses file XML yang berisi external entity, parser akan mencoba memuat atau menjalankan sumber daya yang dirujuk oleh entity tersebut. Jika tidak ada sanitasi yang memadai, penyerang dapat mengarahkan entity tersebut ke sumber atau kode berbahaya, menyebabkan aplikasi web berperilaku tidak diinginkan.

Contohnya, penyerang dapat menggunakan entity untuk mengakses file sensitif atau menjalankan perintah berbahaya pada server, yang mengancam keamanan data dan sistem. Oleh karena itu, sanitasi dan validasi data yang ketat sangat penting untuk mencegah serangan XXE.

<!DOCTYPE people[

<!ENTITY thmFile SYSTEM "file:///etc/passwd">

<name>Glitch</name>

<address>&thmFile;</address>

<email>glitch@wareville.com</email>

</people>

Di sini, entity &thmFile; mencoba mengakses file sensitif /etc/passwd. Jika parser XML tidak divalidasi dengan benar, data sensitif tersebut dapat terekspos ke penyerang.

Practical

Pada tab Products, terdapat 3 item/produk yang di sediakan. Kemudian "Add to wishlist" dan sukses.

Menuju ke tab Cart dan "Procced to Checkout".

Setelah itu memasukan Full nama dan Address dan "Complete Checkout".

Setelah itu terlihat "Wish successful. Your wish has been saved as Wish #21"

Jika di klik, akan terjadi error karena hanya admin yang memiliki akses untuk detailnya.

Selanjutnya, akan dicoba bypass untuk dapat melihat/akses "wish" milik orang lain menggunakan Burp Suite.

Kode di wishlist.php memproses data XML yang dikirimkan pengguna menggunakan fungsi berikut:

libxml_disable_entity_loader(false);

$wishlist = simplexml_load_string($xml_data, "SimpleXMLElement", LIBXML_NOENT);

Pengaturan libxml_disable_entity_loader(false) memungkinkan parser XML untuk memuat external entities. Dengan opsi LIBXML_NOENT, parser akan mengganti referensi external entity dalam XML dengan konten aktual dari sumber yang dirujuk, seperti file sistem atau URL.

Dengan menggunakan payload XML seperti ini:

<!DOCTYPE foo [<!ENTITY payload SYSTEM "/etc/hosts"> ]>

<user_id>1</user_id>

<item>

<product_id>&payload;</product_id>

</item>

</wishlist>

Bagian:

<!ENTITY payload SYSTEM "/etc/hosts">

Mendefinisikan entity bernama payload yang merujuk ke file /etc/hosts. Saat XML ini diproses, referensi &payload; akan diganti dengan isi file /etc/hosts. Akibatnya, aplikasi secara tidak sengaja membuka file tersebut dan memasukkan kontennya ke dalam respons.

Ketika Send, server memproses payload XML berbahaya, yang menyertakan referensi entitas eksternal ke /etc/hosts. Hasilnya, wishlist.php merespons dengan konten file /etc/hosts, yang menyebabkan kerentanan XXE.

Berikutnya, akan dicoba mengakses halaman yang hanya bisa di akses oleh admin. Tapi akan dimulai dengan melihat semua wish mulai dari 1 sampai 50 wish.

/wishes/wish_21.txt, Dengan menggunakan path ini, mulai menebak jalur absolut potensial dari file tersebut. Biasanya, aplikasi web dihosting di /var/www/html. Maka payload baru untuk membaca keinginan sambil memanfaatkan kerentanan ini adalah /var/www/html/wish_1.txt (dimulai dari 1 dahulu)

Dari semua percobaan, Responses ditemukan pada payload dengan angka "15" (wish_15.txt) yang memiliki flag untuk jawaban dari tantangan kali ini.

Dan juga ditemukan pada endpoint untuk flag kedua.

Google Sites

Report abuse