XPath injection

Edit by Qsaka

本文以HCTF2015 injection一題為例,來分析 XPath 注入攻擊。

HCTF2015 injection

題目源碼如下

//index.php  

<?php
$re = array('and','or','count','select','from','union','group','by','limit','insert','where','order','alter','delete','having','max','min','avg','sum','sqrt','rand','concat','sleep');
setcookie('injection','c3FsaSBpcyBub3QgdGhlIG9ubHkgd2F5IGZvciBpbmplY3Rpb24=',time()+100000);
if(file_exists('t3stt3st.xml')) {
    $xml = simplexml_load_file('t3stt3st.xml');
    $user=$_GET['user'];
    $user=str_replace($re, ' ', $user);
  //  $user=str_replace("'", "&apos", $user);
    $query="user/username[@name='".$user."']";
  
    $ans = $xml->xpath($query);
    foreach($ans as $x => $x_value)
    {
        echo $x.":  " . $x_value;
        echo "<br />";
    }
}
?>  

//t3stt3st.xml  

<?xml version="1.0" encoding="utf-8"?>
<root1>
    <user>
        <username name='user1'>user1</username>
        <key>KEY:1</key>
        <username name='user2'>user2</username>
        <key>KEY:2</key>
        <username name='user3'>user3</username>
        <key>KEY:3</key>
        <username name='user4'>user4</username>
        <key>KEY:4</key>
        <username name='user5'>user5</username>
        <key>KEY:5</key>
        <username name='user6'>user6</username>
        <key>KEY:6</key>
        <username name='user7'>user7</username>
        <key>KEY:7</key>
        <username name='user8'>user8</username>
        <key>KEY:8</key>
        <username name='user9'>user9</username>
        <key>KEY:9</key>
    </user>
    <hctfadmin>    
        <username name='hctf1'>hctf</username>
        <key>flag:hctf{Dd0g_fac3_t0_k3yboard233}</key>
    </hctfadmin>
</root1>

XPath基礎

XPath 是一門在 XML 文檔中查找信息的語言。

結點

在 XPath 中,有七種類型的節(jié)點:元素、屬性、文本、命名空間、處理指令、注釋以及文檔節(jié)點(或稱為根節(jié)點)。節(jié)點之間存在父、子、先輩、后代、同胞關系,以t3stt3st.xml為例
根節(jié)點<root1> 、元素節(jié)點<user><username><key><hctfadmin> 、屬性節(jié)點name='user1'
<root1><user><htcfadmin>的父節(jié)點,同時也是<user><hctfadmin><username><key>的先輩。<username><key>是同胞節(jié)點。

路徑表達式

表達式 描述
nodename 選取此節(jié)點的所有子節(jié)點
/ 從根節(jié)點選取
// 從匹配選擇的當前節(jié)點選擇文檔中的節(jié)點,而不考慮它們的位置
. 選取當前節(jié)點
.. 選取當前節(jié)點的父節(jié)點
@ 選取屬性
[] 查找某個特定的節(jié)點或者包含某個指定的值的節(jié)點。

通配符

通配符 描述
* 匹配任何元素節(jié)點
@* 匹配任何屬性節(jié)點
node() 匹配任何類型的節(jié)點

選取若干路徑

通過在路徑表達式中使用“|”運算符,可以選取若干個路徑。

XPath注入

從index.php源碼可知XPath查詢語句為$query="user/username[@name='".$user."']", 且$user經過關鍵字替換。但是黑名單$re中都為SQL關鍵字,所以并不影響對XPath進行注入。我們可以構造payload如 ']|//*|zzz['來進行注入,獲取文檔中的所有元素節(jié)點。

Reference

HCTF2015 writeup
XPath基礎教程

最后編輯于
?著作權歸作者所有,轉載或內容合作請聯(lián)系作者
【社區(qū)內容提示】社區(qū)部分內容疑似由AI輔助生成,瀏覽時請結合常識與多方信息審慎甄別。
平臺聲明:文章內容(如有圖片或視頻亦包括在內)由作者上傳并發(fā)布,文章內容僅代表作者本人觀點,簡書系信息發(fā)布平臺,僅提供信息存儲服務。

相關閱讀更多精彩內容

友情鏈接更多精彩內容