Eksploitacja XXE arkuszem kalkulacyjnym .XLSX

EXCEL XXE

Podatność XML External Entity (XXE) polega na tym, że podczas parsowania struktury dokumentu XML zwanej Document Type Definition (DTD) dopuszczone jest definiowanie własnych encji XML-owych. W zależności od silnika przetwarzającego XML-a po stronie serwerowej i konfiguracji środowiska możliwe jest różnorakie wykorzystanie tego typu podatności. Począwszy od listowania katalogów na systemie,… Continue reading

XXEinjector – narzędzie pomocne w exploitacji XXE

XXEinjector - narzędzie pomocne w exploitacji XXE

XXEinjector to narzędzie automatyzujące proces exploitacji błędu bezpieczeństwa polegającego na możliwości wstrzykiwania zewnętrznych encji w plikach xml ( XML eXternal Entity ). Umożliwia on między innymi pobieranie i uploadowanie plików metodą bezpośrednią i za pomocą serwera pośredniczącego, enumerowanie plików i katalogów czy też enumerowanie nie filtrowanych portów. Tool do pobrania… Continue reading