另类SRC文件上传漏洞挖掘思路

admin 2022年4月19日01:43:16安全文章评论49 views1885字阅读6分17秒阅读模式

文档上传引发的XXE漏洞(下图来自于 getshell1993)

另类SRC文件上传漏洞挖掘思路


具体原理

原文:浅谈一种特殊格式的xxe

作者:你回来吗

原文地址:https://xz.aliyun.com/t/11203


0x00 背景

前两天在realworld挖到一个docx的xxe漏洞,昨天朋友和我说国外某CTF也出现其中考点了,所以我把docx格式的xxe来简单总结下

0x01前置知识

首先是关于docx这种格式 在微软2007之后 在传统的文件名都添加了x 比如pptx xlsx,还有我们本文提到的docx 他的优点是占用空间会比doc文件占有的少,并且他的本质其实是个xml文件

当你拿到一个docx文件时 使用本机自带的unzip命令进行解压

另类SRC文件上传漏洞挖掘思路

会得到如下的xml文件 因为docx文件的主要内容是保存为xml的 他是保存在一个压缩包 然后扩展名为zip 这里面主要存储信息的地方在于word文件夹下的document.xml

内容大致如下

另类SRC文件上传漏洞挖掘思路

我们发现在word输入的内容在

<w:t>&xxe;</w:t>

这个标签内 解析xml实体的位置也是如此

0x02 lets xxe 1

第一个位点就是我们刚才提到的地方

我们只需要做的是在xml声明处添加如下第一行代码 在第二行标签进行修改

<!DOCTYPE test [<!ENTITY test SYSTEM 'file:///etc/passwd'>]>
<w:t>&test;</w:t>

然后将文件重新压缩 修改为.docx 然后找到上传点上传就可以

另类SRC文件上传漏洞挖掘思路

但做好的即使用微软官方的word并不能打开 发现只有用Libreoffice时候能解析

当然这个在ctf题中也有案例 感兴趣的师傅可以翻阅HackPack 2021 Indead v2 用一模一样的方法就可以


0x02 xxe 2

第一种方法被广流传之后 很多都进行了相对的修改 当然最暴力的方法就是直接禁止实体解析,当然也有做相对柔和一点就是在document.xml里面检测了关键字 很显然这种方法并不全面 那我们需要探索的就是是否有别的位点

我注意到在线浏览或者转换pdf的地方还有一个点 就是页码

另类SRC文件上传漏洞挖掘思路

经过简单翻找可以看到

另类SRC文件上传漏洞挖掘思路

在docProps/app.xml标签里面

在pages这里面加入xxe语句即可


0x03 ole to readfile

然后就是出自前几天比赛学习的一种新手法 这种手法只适用于Libreoffice 并且在实战场景是有利用空间的 很多在线网站word转pdf用的都是libreoffice

另类SRC文件上传漏洞挖掘思路

这道题的设计背景就是 试了xxe发现不行 然后就各种搜索资料 发现word文档是可以以文件的方式嵌入和链接OLE对象 OLE就是一种面向对象技术 利用这种方式就可以把文件 声音 图像表格 应用程序组合在一起

选择插入 OLE Object

另类SRC文件上传漏洞挖掘思路

然后在这里选择Link to file

另类SRC文件上传漏洞挖掘思路

可以看到这里面可以成功读取

另类SRC文件上传漏洞挖掘思路

然后我们保存 这里面要注意一个不能直接保存为docx格式 要先保存为odt格式 我们再手动修改扩展名

这时候以zip格式打开就可以看到

另类SRC文件上传漏洞挖掘思路

格式大概是这样 我们打开content.xml

另类SRC文件上传漏洞挖掘思路

可以看到 在xlink: href 这里面连接到/etc/passwd 那你也能想到我们可以把他修改/flag上传

另类SRC文件上传漏洞挖掘思路

这时候我们发现是可行的 但是这种方法读取的行数是有限的 读不到完整flag

解决方法也很简单 我们自己写个文本框来解析 代码如下


<text:section text:name="string"><text:section-source xlink:href="../../../../../../flag" xlink:type="simple" xlink:show="embed" xlink:actuate="onLoad"/></text:section>
另类SRC文件上传漏洞挖掘思路

可以看到能过成功解析 读取flag


0x04 docx压缩包的其他考点

回过头来我们想当他本质是个压缩包的话 php有丰富的伪协议 zip 如果我们在php网站有这种上传docx的地方 也可以考虑 把php一句话写入 然后用zip://把它解压出来

另类SRC文件上传漏洞挖掘思路

后来发现早有师傅想到这个点了


0x05 拓展阅读

http://www.securityidiots.com/Web-Pentest/XXE/XXE-Cheat-Sheet-by-SecurityIdiots.htmlhttps://doddsecurity.com/312/xml-external-entity-injection-xxe-in-opencats-applicant-tracking-system/

更多技术文章请关注公众号:猪猪谈安全

另类SRC文件上传漏洞挖掘思路

师傅们点赞、转发、在看就是最大的支持


原文始发于微信公众号(猪猪谈安全):另类SRC文件上传漏洞挖掘思路

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月19日01:43:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  另类SRC文件上传漏洞挖掘思路 http://cn-sec.com/archives/919018.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: