XXE Injection 을 하는 문제 입니다 XXE Injection 이란 (XML External Entity Injection) 인데요 XML에 있는 외부 객체를 참조할 수 있는 기능을 이용해서 서버내 파일을 참조하게 만드는 해킹 기법입니다.
XML 소스는 이렇게 작성해 줍니다. 서버 내 로컬 파일을 참조하기 위해 file 이라는단어를 쓰고, passwd 파일을 참조하도록 합니다.
작성한 XXE 파일을 업로드 합니다.
Request에서 작성한 XXE 파일이 넘어가는 것을 확인할 수 있습니다.
서버의 Response를 인터셉트해서 확인하면, 서버의 passwd 파일이 참조되는것을 확인 할 수 있습니다. 모든 내용이 나오지는 않고, 짤리네요 아마도 서버에서 글자수를 제한해둔것 같습니다.
브라우저의 DevTool을 이용해서 봐도 똑같습니다.
'Wargame | CTF > WebHacking' 카테고리의 다른 글
| Juice Shop - Forgotten Sales Backup(★★★) 풀이 (0) | 2019.02.20 |
|---|---|
| Juice Shop - Basket Access Tier 2(★★★) 풀이 (0) | 2019.02.20 |
| Juice Shop - XSS Tier3(★★★) 풀이 (0) | 2019.02.20 |
| Juice Shop - Upload Size(★★★) 풀이 (0) | 2019.02.20 |
| Juice Shop - XSS Tier 2(★★★) 풀이 (0) | 2019.02.20 |