XPATH注入学习

转眼这学期上完就要找实习了，在网上找了一些面经来看，看到有问到xpath注入的情况。发现对自己xpath注入的了解仅局限于做了墨者学院的xpath注入靶场的常规注入，对xpath注入的权限绕过和盲注并不了解，以下为这次学习的笔记

xpath入门

XPath即为XML路径语言，它是一种用来确定XML（标准通用标记语言的子集）文档中某部分位置的语言。XPath基于XML的树状结构，有不同类型的节点，包括元素节点，属性节点和文本节点，提供在数据结构树中找寻节点的能力

XPath 注入利用 XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的 XPath 查询代码，以获得高权限信息的访问权。

XPath注入类似于SQL注入，当网站使用未经正确处理的用户输入查询 XML 数据时，可能发生 XPATH 注入，由于Xpath中数据不像SQL中有权限的概念，用户可通过提交恶意XPATH代码获取到完整xml文档数据

这里我对hctf2015 的injection源码稍微改动（去掉对and 和 or等字符的过滤）：

index.php:

正常查询： http://127.0.0.1/xpath/index.php?user=user1

Xpath注入漏洞验证：

加一个 ' ;有下列报错，则可以确定Xpath注入的存在性

构造Xpath注入语句：

此时的查询语句为

结果：

使用' or 1=1 or ''=' 只能获取当前节点下的数据，flag不在当前节点中。而这里既然为ctf题目，肯定是需要获取flag的，这里xpath有一个类似于sqli的'or '1'='1的paylaod

该paylaod用于访问xml文档的所有节点

login.php:

test.xml

这里，test为普通账户，Twe1ve为管理账户（不设置为admin，为了更直观地看出权限时用户名已知和未知的区别，也是模拟用户名不为admin的情况） test用户使用正确的账户名密码正常登录：

用户名：test' or 'a'='a 密码随意

这意味着知道任意用户名即可以该用户身份登录，在已知用户账户名的情况下实现任意用户登录。假若管理员用户未知，如我这里设置的比较奇葩的管理用户名，还可以实现以管理员身份登录吗？我们知道一般数据库中默认第一个用户为管理用户。所以这里类似SQLi 的万能密码，使用如下paylaod实现在管理账户未知的情况下管理员登录：

结果：

xpath盲注适用于攻击者不清楚XML文档的架构，没有错误信息返回，一次只能通过布尔化查询来获取部分信息，同样以0x05中的源码为例

Xpath盲注步骤：

从根节点开始判断：

判断根节点下的节点长度为8：

猜解根节点下的节点名称：

猜解出该节点名称为accounts

猜解accounts下的节点名称：

accounts下子节点名称为user

第一个user节点的子节点长度为8： 'or string-length(name(/accounts/user[position()=1]/*[1]))=8 or ''='

读取user节点的下子节点

最终所有子节点值验证如下：

继续猜解：

均为 false，不再有子节点，则可以尝试读取这些节点的值

第一个user下的username值长度为6:

读取第一个user下usernaem的值

可依次读取所有的子节点的值，第二user节点的子节点值读取方式：

重复上边步骤即可

链接： https://owasp.org/www-community/attacks/Blind_XPath_Injection https://k-ring.github.io/2019/08/01/xpath%E6%B3%A8%E5%85%A5/ https://www.scip.ch/en/?labs.20180802 https://www.moonsec.com/archives/374