Write-up: Explotación XXE en el parser de FirmwareUpdateConfig para obtener la flag

Contexto

Durante el CTF, encontramos un campo que aceptaba entrada en formato XML. Al inyectar texto plano, el sistema lanzaba un error indicando que esperaba un elemento raíz llamado <FirmwareUpdateConfig>. Además, el sistema daba errores al faltar elementos específicos, mostrando que el XML debía seguir una estructura muy concreta.

Objetivo

Extraer la flag almacenada en el sistema (posiblemente en un archivo llamado /flag o /flag.txt) a través de inyección XML.

Análisis inicial

• El campo espera un XML válido con raíz <FirmwareUpdateConfig>.
• El parser requiere que el XML contenga ciertos elementos obligatorios, en orden:
  1. <FirmwareUpdateConfig> raíz
  2. Dentro, un elemento <Firmware>
  3. Dentro de <Firmware>, un elemento <Version>
• Sin respetar esta estructura, el parser devuelve errores que nos guían a completar el XML correctamente.

Vulnerabilidad aprovechada: XXE (XML External Entity Injection)

• El parser aceptaba la declaración <!DOCTYPE ...> y definiciones de entidades externas.
• Esto permitió definir una entidad externa xxe apuntando a un archivo local del sistema (file:/flag.txt).
• Al usar la entidad &xxe; dentro del XML, el parser al procesar el XML sustituía esa entidad por el contenido del archivo referenciado, revelando así la flag.

Payload final que funcionó

<!DOCTYPE FirmwareUpdateConfig [
  <!ENTITY xxe SYSTEM "file:/flag.txt">
]>
<FirmwareUpdateConfig>
  <Firmware>
    <Version>&xxe;</Version>
  </Firmware>
</FirmwareUpdateConfig>

• Aquí, la entidad xxe lee el archivo /flag.txt.
• La estructura del XML respeta los requerimientos del parser.
• Al procesar, el contenido de /flag.txt se inyecta dentro del nodo <Version>, y se muestra en la respuesta.

Resultado

El sistema respondió con un mensaje que contenía la flag: