加QQ81758415
快捷导航

利用BLIND OOB XXE相关漏洞文件获得系统访问权限测试

2018-4-9 00:11| 发布者: xlbck| 查看: 90| 评论: 0

摘要: 今日,我想和大伙儿共享的是,我还在某一邀约系统漏洞测试报告中,发觉Bind OOB XXE系统漏洞的方式。因为涉及到隐私保护,下列稿子中涉及到域名的一部分我已作了编写掩藏,烦请担待。系统漏洞剖析最先,与大部分挖地 ...
今日,我想和大伙儿共享的是,我还在某一邀约系统漏洞测试报告中,发觉Bind OOB XXE系统漏洞的方式。因为涉及到隐私保护,下列稿子中涉及到域名的一部分我已作了编写掩藏,烦请担待。
系统漏洞剖析
最先,与大部分挖地洞者的检测方式相同,我对总体目标网址开展了多方位的服务项目财产踩点鉴别,再此全过程中,我发现至少1个子域名网址较为有趣,因此,我也对它开展了文件目录遍历,随后,就发觉了其名叫/notifications的服务器端。在BurpSuite中,对这一/notifications服务器端的post请求和没有响应如图所示:

运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测

在其没有响应內容中,我特别注意到,除开有XML內容外,还包括了1个XML SOAP英语的语法体。因为沒有GET主要参数能够检测,因而我先向该/notifications服务器端上传1个简易的,不特定一切內容种类(content-type)的POSTpost请求开展研究,以后,在POSTpost请求传出后,XML SOAP英语的语法体不要出現,并且全部post请求没有响应的编码为200:

运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测
来看,好像该Web运用端对POSTpost请求能作出非常好的没有响应,且不容易抛出去405的post请求方式不正确,因此我又结构界定了包括content-type: application/xml款式的XML英语的语法內容,用它来作POSTpost请求,看一下没有响应怎样:

运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测
尽管此次的POST没有响应還是XML內容,但却与上多次不一样,这类没有响应表层上其实像服务器端对GETpost请求的没有响应,并且,此次的没有响应內容中包括的标识值并不是之前的“TestRequestCalled”,只是“OK”。然后,我又上传了1个界定的JSONpost请求(content-type: application/json),来测试服务端的主要没有响应:
运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测

这次,没有响应內容也是空的,和未指定一切內容种类的简易POSTpost请求没有响应相同,从而,我推论该服务器端能一切正常解决XML统计数据,这样一来,我想要试着运用BLIND XXE攻击方式来开启其系统漏洞。我根据在自个VPS上搭建了1个dtd文档,随后运用外界实体线引证方式来检测其XML分析体制,好运的是,最后布署在我VPS上的这一外界dtd文档实体线被取得成功分析引证,下列是其post请求內容和最终的分析結果:
运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测
xxe-ftp-server.rb脚本制作运用
因为该系统软件应用了java架构,而乌克兰OnSec试验室曾对于Java程序流程的XXE-OOB进攻做出了有关科学研究,并得出相对的payload,及其1个根据ftp服务项目载入系统目录的漏洞利用脚本制作xxe-ftp-server.rb,运作该脚本制作后,8088端口号做为http服务器端承担获得OOB进攻payload,而8077端口号用以ftp联接服务项目,最后能取得成功载入到总体目标系统目录:
运用BLIND OOB XXE系统漏洞获得文件系统访问限制的检测
虽然最终该系统漏洞被确定为1个反复报,但我還是想把它共享出去,自己也从初中到某些分辨服务器端运用的工作经验。
某些有效的XXE Payload


鲜花

握手

雷人

路过

鸡蛋

让创业更简单

  • 反馈建议:hackhl@outlook.com
  • 客服电话:暂时没有
  • 工作时间:周一到周五9点~22点

云服务支持

黑客联盟,快速搜索

关注我们

Copyright 黑客联盟安全防护网  Powered by©  技术支持:    ( 闽ICP备18000419号-1 )