利用Tibco WebFOCUS和Epson ePOS打印机中的XXE与SSRF漏洞

在今天的文章中，我将讨论我在一个私人漏洞赏金项目中最近发现的一些问题。期间，我在Tibco WebFOCUS报表服务器和Epson ePOS打印机中发现了多个XML外部实体注入和服务器端请求伪造漏洞。这些漏洞使我能够通过盲SSRF和XXE攻击外泄敏感信息，如NTLM哈希。我还将解释如何利用这些漏洞，通过Epson ePOS打印机模块打印敏感的系统文件。

理解漏洞：

1. 导致NTLM哈希外泄的盲SSRF

在测试过程中，我发现该应用程序使用了WebFOCUS服务器，其中包含一个连接到组织的Salesforce账户或环境并导入数据的选项。然而，在Salesforce数据库连接器模块中发现了一个漏洞。该模块设计用于从Salesforce实例获取数据，但缺乏适当的URL验证，并且未能将请求限制在Salesforce域名内。因此，它允许向任何服务器（包括内部IP）发起HTTP请求，使其容易受到SSRF攻击。

该漏洞被限制为盲SSRF，服务器仅发出带外DNS查询。这使我能够验证内部服务器是否运行了HTTP服务，但由于漏洞的性质，其影响非常有限。我发现应用程序在后端运行于Windows服务器上，这促使我尝试使用Responder工具，看看是否能从服务器窃取NTLM哈希。

什么是Responder？ Responder是一款流行的开源网络渗透工具，特别适用于Windows环境。它旨在拦截和操纵网络流量以捕获敏感数据，如NTLM哈希，这些数据可用于进一步的攻击，例如哈希传递或离线密码破解。

(webfocus salesforce database connector) (服务器哈希) 后来，我还观察到该机器尝试进行基本身份验证，从而泄露了salesforce SOAP API凭据。 (SOAP API 凭据)

2. Tibco WebFOCUS报表服务器中的盲XXE漏洞和DOCTYPE声明

在报表服务器中，有一个选项可以使用“获取模块”功能从XML文件导入数据。在测试期间，我还发现该应用程序容易受到XXE攻击，但在盲利用方面提出了独特的挑战。最初，我尝试了经典的XXE方法定义外部实体，但应用程序返回“实体未定义”错误。后来，我注意到错误发生是因为我在有效负载中遗漏了DOCTYPE声明。

我能够成功定义外部实体。然而，由于是盲XXE，我无法直接在响应中查看任何内部实体——它只进行DNS查询。我试图通过DNS外泄数据，但内部数据文件中的换行符阻止了我这样做。虽然我可以声明外部实体并加载DTD文件，但即使通过DTD加载，也没有数据被外泄。

了解到应用程序运行在Windows服务器上后，我决定再次使用Responder，并准备了以下有效负载： (有效负载) (服务器哈希)

3. 利用Epson ePOS打印机中的XXE

该应用程序包含一个使用Epson ePOS打印机打印抽屉最终余额的模块，该模块依赖XML数据来打印抽屉状态。测试期间发现，该应用程序允许用户声明外部实体，使得攻击者可以利用XXE漏洞来打印系统文件。

(EPSON ePOS打印机文档) 根据Epson ePOS打印机文档，如果HTTP文档打印请求中包含外部实体，它也会接受并打印数据。 (EPSON ePOS打印机文档第48页) 为了打印内部系统文件，我准备了以下有效负载： (有效负载) 该有效负载成功允许我打印服务器的内部文件。

结论：

这些发现突显了忽视盲漏洞带来的关键风险。Tibco WebFOCUS报表服务器和EPSON ePOS打印机容易受到盲XXE和SSRF攻击，这可能暴露NTLM哈希并允许未经授权访问敏感的系统文件。

在本文中，我展示了带外技术和创造性的利用方法如何将看似微小的漏洞转变为强大的攻击媒介。

感谢阅读。