OOXML (Office Open XML) on Microsoftin kehittämä ZIP- ja XML-pohjainen tiedostomuoto office-dokumentteja varten. Käytännössä kaikki Word- ja Excel-tiedostot ovat siis zipattua XML:ää, jolloin myös OOXML-käsittelijät saattavat olla haavoittuvia XML-hyökkäyksille, kuten XXE:lle.

Käynnistä alla oleva harjoitus ja lue eteenpäin.

Tiesitkö, että Office-dokumentit ovat vain zipattua XML:ää?

Lue lippu /secret-recipe.txt-tiedostosta.

Tässä labrassa hyväksikäytät XXE-haavoittuvuutta Excel-tuonti-toiminnossa.

XXE OOXML 1

Lataa mallitilaus labran osoitteesta "/static/order.xlsx", avaa hyökkääjän koodieditori, jonka jälkeen vedä ja pudota tiedosto /root-hakemistoon.

Käynnistä terminaali valitsemalla koodieditorissa hampurilaisvalikko -> pääte -> uusi pääte. Siirry /root-hakemistoon, jos et ole jo siellä.

Suorita ls-komento ja sinun pitäisi nähdä, että "order.xlsx" on siellä.

Kuten jo mainittu, Excel-tiedostot ovat vain zipattuja XML-tiedostoja. Luo order-niminen hakemisto ja käytä unzip-komentoa purkaaksesi tiedoston hakemistoon.

Luodaan nyt pieni shell-skripti, jonka avulla voimme pakata Excelin uudelleen. Napsauta hiiren kakkospainikkeella juurihakemistoa, valitse "uusi tiedosto" ja anna sille nimi "repackage.sh". Kirjoita sisään seuraava teksti:

Kokeile että uudelleenpakkausskripti toimii.

Lataa sitten luotu evil.xlsx-tiedosto. Voit tehdä tämän napsauttamalla hiiren oikealla `evil.xlsx' koodieditorissa ja valitsemalla "Download".

Palaa nyt pizzapalveluun, lataa tilaus ja varmista, että tilaus toimii. Nyt meillä on toimiva perusta hyökkäyksen rakentamiselle.

Heijastetun XXE:n saavuttamiseksi meidän on selvitettävä, missä kohtaa Excel-tiedostoa löytyy "Mozzarella" ja "Salami". Voimme käyttää 

Vaikuttaa siltä, ​​että "order/xl/sharedStrings.xml" on oikea tiedosto. Avaa tämä tiedosto koodieditorissa.

Tähän mennessä sinun pitäisi jo tietää, kuinka jatkaa tästä eteenpäin. Jos tämä vaihe ei tunnu tutulta, palaa edellisiin moduuleihin tässä kurssissa.

Luo DTD-entiteetti, joka osoittaa /secret-recipe.txt-tiedostoon, ja suorita sitten kyseinen entiteetti joko Mozzarellan tai Salamin tilalle.

## Mikä OOXML?

OOXML (Office Open XML) on Microsoftin kehittämä ZIP- ja XML-pohjainen tiedostomuoto office-dokumentteja varten. Käytännössä kaikki Word- ja Excel-tiedostot ovat siis zipattua XML:ää, jolloin myös OOXML-käsittelijät saattavat olla haavoittuvia XML-hyökkäyksille, kuten XXE:lle.

---

## Käytännön esimerkki

Käynnistä alla oleva harjoitus ja lue eteenpäin.

@exercise 3d85b51420f4

---

## Mallitilaus

Lataa mallitilaus labran osoitteesta "/static/order.xlsx", avaa hyökkääjän koodieditori, jonka jälkeen vedä ja pudota tiedosto /root-hakemistoon.

![](sanity:image-d5e5c6762bcde54f5fb09466c6d7d741c83a46c5-1030x885-png)

---

## Terminaali

Käynnistä terminaali valitsemalla koodieditorissa hampurilaisvalikko -> pääte -> uusi pääte. Siirry /root-hakemistoon, jos et ole jo siellä.

![](sanity:image-24db64fe3748ab553fd74d0953dd6091519adaa1-1040x518-png)

```sh
cd /root
```

Suorita ls-komento ja sinun pitäisi nähdä, että "order.xlsx" on siellä.

```sh
ls
CachedExtensions  Machine  User  coder.json  extensions  logs  machineid  order.xlsx  web
```

---

## Pura excel

Kuten jo mainittu, Excel-tiedostot ovat vain zipattuja XML-tiedostoja. Luo order-niminen hakemisto ja käytä unzip-komentoa purkaaksesi tiedoston hakemistoon.

```sh
mkdir order
unzip order.xlsx -d order
```

![](sanity:image-7d7a0cfabfc83ad68c51c5915203bddc9236d176-993x542-png)

---

## Uudelleenpakkausskripti

Luodaan nyt pieni shell-skripti, jonka avulla voimme pakata Excelin uudelleen. Napsauta hiiren kakkospainikkeella juurihakemistoa, valitse "uusi tiedosto" ja anna sille nimi "repackage.sh". Kirjoita sisään seuraava teksti:

```sh
#!/bin/bash
(cd order && zip -r /root/evil.xlsx ./*)
```

Anna skriptille suoritusoikeudet:

```sh
chmod +x ./repackage.sh
```

---

## Testaa asetuksia

Kokeile että uudelleenpakkausskripti toimii.

![](sanity:image-8ee70112c5d602c765f9107c66a60c7d703a28df-1004x717-png)

Lataa sitten luotu evil.xlsx-tiedosto. Voit tehdä tämän napsauttamalla hiiren oikealla \`evil.xlsx' koodieditorissa ja valitsemalla "Download".

Palaa nyt pizzapalveluun, lataa tilaus ja varmista, että tilaus toimii. Nyt meillä on toimiva perusta hyökkäyksen rakentamiselle.

![](sanity:image-6bd722505e1a9a57d6705e95bed89250ef76e87b-1632x1109-png)

---

## Etsi paikka

Heijastetun XXE:n saavuttamiseksi meidän on selvitettävä, missä kohtaa Excel-tiedostoa löytyy "Mozzarella" ja "Salami". Voimme käyttää **grep**-komentoa selvittääksemme tämän.

```sh
grep -r Mozzarella ./order
```

![](sanity:image-565815c6bdfb5780fa793eff85872fcbdd854ec5-1041x241-png)

Vaikuttaa siltä, ​​että "order/xl/sharedStrings.xml" on oikea tiedosto. Avaa tämä tiedosto koodieditorissa.

---

## XXE

Tähän mennessä sinun pitäisi jo tietää, kuinka jatkaa tästä eteenpäin. Jos tämä vaihe ei tunnu tutulta, palaa edellisiin moduuleihin tässä kurssissa.

Luo DTD-entiteetti, joka osoittaa /secret-recipe.txt-tiedostoon, ja suorita sitten kyseinen entiteetti joko Mozzarellan tai Salamin tilalle.

Muistutuksena, DTD:n syntaksi on:

```xml
<!DOCTYPE juuri [ ]>
```

Ja ulkoisen entiteetin syntaksi on:

```xml
<!ENTITY nimi SYSTEM "url tai polku">
```

Ja entiteetin suorittamissyntaksi on:

```xml
&nimi;
```


XXE Excel ja Word Tiedostoissa (OOXML)

XML on pintapuolisesti yksinkertainen protokolla, tageja ja attribuutteja. XML:llä on kuitenkin salaisia kykyjä jotka valitettavan usein eivät ole oletusarvoisesti poistettu käytöstä XML-käsittelijöissä...

XXE Excel ja Word Tiedostoissa (OOXML)

Mikä OOXML?

Hakkeroinnin oppiminen alkaa tästä