盲XPath注入

最新推荐文章于 2024-08-13 13:50:41 发布
最新推荐文章于 2024-08-13 13:50:41 发布
阅读量347 收藏
点赞数
文章标签: tcp 信息安全 安全 服务器 xpath

摘要: 盲XPath注入 https://www.fortoscer.com/forum.php?mod=viewthread&tid=10&fromuid=1 (出处: 信息安全社区)

这是一种攻击
描述

XPath是一种查询语言,描述如何找到特定元素(包括属性,处理指令等)的XML文档英寸 因为它是一个查询语言,XPath是有点类似于结构化查询语言(SQL),然而,XPath是不同的,因为它可以用来表示一个XML文档的几乎任何部分,而不受访问控制限制。在SQL中,“用户”(这是在XPath / XML环境不确定的术语)可以被限制在特定的数据库,表,列或查询。使用XPath注入攻击中,攻击者可以修改XPath查询来执行他选择的动作。

盲XPath注入攻击可以用于从在不安全的方式嵌入用户提供的数据的应用程序提取数据。当输入不正确过滤,攻击者可以提供被执行的有效的XPath代码。这种类型的攻击是在攻击者有没有关于XML文档,或者是错误消息的结构被抑制的知识的情况下使用,并且只能通过询问真/假的问题,一次拉一次资料片(booleanized查询),就像盲SQL注入

风险因素

TBD

例子

攻击者可能利用两种方法攻击成功:Boolenization和XML爬行。通过向XPath语法,攻击者使用附加表达式(在确定位置替换输入注入攻击)。


Boolenization

使用“Boolenization”的方法,攻击者可以假设给定的XPath表达式是“True”还是“False”。假设攻击者的目标是登录到帐户中的Web应用程序。成功登录将返回“True”和失败的登录尝试将返回“False”。攻击者首先只是分析一小部分字符或数字或许还得不到结论。但是当攻击者在字符串中通过专注的分析每一个字符,那么他们有可能就知道应该在那一部分注入内容。

 

使用函数stringlength(s),s表示字符串。通过这个函数攻击者可以计算出字符串的长度,然后通过substring(S,N,1)函数进行适当的迭代,这里S是前面所提到的字符串,N是一个起始字符,“1”是一个下一个字符选自N字符计数,这样攻击者能够轻易的枚举整个字符串。

Code:

  1. <?xml version="1.0" encoding="UTF-8"?>
  2. <data>
  3.    <user>
  4.    <login>admin</login>
  5.    <password>test</password>
  6.    <realname>SuperUser</realname>
  7.    </user>
  8.    <user>
  9.    <login>rezos</login>
  10.    <password>rezos123</password>
  11.    <realname>Simple User</realname>
  12.    </user>
  13. </data>
复制代码

注:以下如果写中文可能就变味了,所以还是直接写英文吧

Function:

  • string.stringlength(//user[position()=1]/child::node()[position()=2]) returns the length of the second string of the first user (8),
  • substring((//user[position()=1]/child::node()[position()=2),1,1) returns the first character of this user ('r').

XML Crawling要了解XML文档结构中的攻击者可以利用:
  • count(expression)
 
  1. count(//user/child::node()
复制代码

执行这个函数将会返回两个节点数。

  • stringlength(string)
  1. string-length(//user[position()=1]/child::node()[position()=2])=6
复制代码

假设上面这个表达式成立,攻击者查询的结果就是第一个用户节点的第二个子节点是由6个字符组成的密码。

  • substring(string, number, number)
  1. substring((//user[position()=1]/child::node()[position()=2]),1,1)="a"
复制代码

以上的这个查询假设它是成立的,那么攻击者就可以确定第一个用户节点的第二个子节点(即:密码)内容的第一个字符是“a”这个字符。

如果在日志中,那么就像以下的这种形式:

C#:

  1. String FindUser;
  2. FindUser = "//user[login/text()='" + Request("Username") + "' And
  3.       password/text()='" + Request("Password") + "']";
复制代码

那么攻击者应该注入下面的代码:

  1. Username: ' or substring((//user[position()=1]/child::node()[position()=2]),1,1)="a" or ''='
复制代码

XPath语法可能会提醒你的常见SQL注入攻击,但攻击者必须考虑到这种语言不允许注释掉表达式的其余部分。要绕过此限制攻击者应该完全使用表达式或作废所有表达式,这才有可能成功的搞破坏而达到进攻的目的。

由于Boolenization查询一个小的XML或者是成千上万个数量文档,都是非常高效的。这就是为什么这种攻击是不手动进行。了解一些基本的XPath功能,攻击者能够在很短的时间,将写出重建文档的结构并会自行填充数据的应用程序。

参考
http://dl.packetstormsecurity.net/papers/bypass/Blind_XPath_Injection_20040518.pdf
http://www.ibm.com/developerwork ... njection/index.html
http://dl.packetstormsecurity.ne ... ection_20040518.pdf
 

应用程序数据库表达式资料片如何

9fi859zt800f.gif (7.29 KB, 下载次数: 0)

 

盲XPath注入

盲XPath注入

盲XPath注入
https://www.fortoscer.com/forum.php?mod=viewthread&tid=10&fromuid=1
(出处: 信息安全社区)


fortoscer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xpath注入
RMC131的博客
04-19 1017
XPath是一种查询语言,描述如何在XML文档中查找特定元素(包括属性、处理指令等),于SQL相似,Xpath可以引用XML文档的几乎任何部分,而不受访问控制限制。XPath注可以从一个使用不安全方式嵌入用户信息的应用中提取数据,在输入未被过滤的情况下,攻击者可以提交并执行有效的XPath代码。这种攻击适用情况:攻击者不清楚XML文档的架构,或者错误消息被抑制,一次只能通过布尔化查询来获取部分信息,与SQL注相似。
浅谈Xpath注入漏洞
记录学习,一起进步
03-09 1558
Xpath注入漏洞
[NPUCTF2020]ezlogin (xpath注)
记录学习,一起进步
03-26 734
[NPUCTF2020]ezlogin (xpath注)
Xpath注入
2202_75361164的博客
12-04 423
Xpath注入,常规使用加例题
102.网络安全渗透测试—[常规漏洞挖掘与利用篇18]—[xpath注入注入]
qwsn
02-07 4496
我认为,无论是学习安全还是从事安全的人,多多少少都有些许的情怀和使命感!!! 文章目录 一、xpath注入注入 1、什么是xpath注入 2、什么是xpath注入 3、xpath查询基本语句 二、xpath注入示例 1、注入漏洞页面源码:xpath.php 2、注入漏洞页面关键源码分析 3、账户信息存储文件:`xpath_user.xml` 4、注入方法 (1)万能密码登录: (2)payload分析: 5、注入 (1)获取字符长度函数:`string-length()` (2)截取字符函数:`su
XPath注入
发哥微课堂
06-29 2788
0x00:介绍 我们都知道数据库,以表的形式来存储数据。除了数据库还有一种方式即以文件形式存储,例如 xml 文件 txt 文件等。当然像文件存储数据一般很少用,文件存储有弊端,数据过多时,读写都很慢没有索引。一些配置性的东西可能会存到 xml 文件中。xml 存数据结构和 html 有点像,比如根结点、子节点、属性节点、文本等。 <?xml version="1.0" encodin...
XPATH报错注入
7hinkSource的博客
08-12 852
extractvalue() extractvalue() :对XML文档进行查询的函数 语法:extractvalue(文档,路径) 路径写入其他格式,就会报错并且会返回我们写入的非法格式内容,我们可以利用这个得到我们想得到的内容 正常查询 第二个参数的位置格式 为 /x/xx ,即使查询不到也不会报错 select username from security.user where id=1 and (extractvalue(‘1’,’/x/xx’)) 使用concat()拼接 ‘ / ‘ 效果
测试XPath注入.docx
09-06
测试XPath注入 XPath 注入是指攻击者通过提交恶意的 XPath 查询来破坏应用程序的逻辑或获取未授权访问的数据的安全漏洞。XPath 是一种用于导航 XML 文档并从中获取数据的解释型语言。许多时候,一个 XPath 表达式...
XPath-Injection:XPath注入脚本
04-02
XPath注入是一种针对XML数据的攻击方式,通过构造恶意的XPath表达式来欺骗应用程序,获取未经授权的数据或者执行非预期的操作。这种攻击通常发生在应用接受用户输入的XPath查询,并直接用于解析XML文档时。在这个名...
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
xxxpwn:高级 XPath 注入工具
06-09
xxxpwn : XPath 过滤扩展工具 : 专为优化 XPath 1 注入攻击而设计 xxxpwn 使用各种 XPath 优化来查询来自存在 XPath 注入的位置提供的后端 XML 文档的自定义信息。 默认情况下,它会尝试检索整个远程数据库,尽管...
xpath注入漏洞
leekos的博客,分享web安全相关知识~
07-24 295
今天碰到一个ctf题目,是有关xpath注的,之前从没了解过,所以学习了一下,写博客记录下来XPath即为XML路径语言,它是一种用来确定XML文档中某部分位置的语言。XPath基于XML的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力xpath注入类似于sql注入,是由于解释器的容错特性导致,当网站使用未经正确处理的用户输入查询 XML 数据时,可能发生 XPATH 注入easy,不难,熟练一下就好了,重要的要写注脚本。
XPath注简介
weixin_34232617的博客
02-02 212
本文主要介绍代码注入攻击的一种特殊类型:XPath 注。 如果您不熟悉 XPath 1.0 或需要了解基础知识,请查看 W3 Schools XPath 教程。您还可以在 developerWorks 上找到大量的关于在各种语言环境中使用 XPath 的文章。本文使用的示例主要针对 XPath 1.0,但是也可用于 XPath 2.0。XPath 2.0 实际上增加了您可能遇到...
4.12. Xpath注入
Sumarua的博客
07-04 432
文章目录4.12. Xpath注入4.12.1. Xpath定义4.12.2. Xpath注入攻击原理 4.12. Xpath注入 4.12.1. Xpath定义 XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。 4.12.2. Xpat
xpath注入
dahe
05-07 1647
1.什么是xpath XPath 使用路径表达式在 XML 文档中进行导航 XPath 包含一个标准函数库 XPath 是 XSLT 中的主要元素 XPath 是一个 W3C 标准 2.学习xpath 在了解xpath注入之前,可以先学习一下语法和基础知识 https://www.runoob.com/xpath/xpath-syntax.html 3.xpath注入是什么 XPath 注入利用 XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的 XPath
【常见Web应用安全问题】---6、Script source code disclosure
weixin_34128839的博客
12-22 404
Web应用程序的安全性问题依其存在的形势划分,种类繁多,这里不准备介绍所有的,只介绍常见的一些。  常见Web应用安全问题安全性问题的列表:   1、跨站脚本攻击(CSS or XSS, Cross Site Scripting)   2、SQL注入攻击(SQL injection)   3、远程命令执行(Code execution,个人觉得译成代码执行并不确...
sql报错注入:extractvalue、updatexml报错原理
weixin_33881140的博客
03-07 463
报错注入:extractvalue、updatexml报错原理 MySQL 5.1.5版本中添加了对XML文档进行查询和修改的两个函数:extractvalue、updatexml 名称 描述 ExtractValue() 使用XPath表示法从XML字符串中提取值 UpdateXML() 返回替换的XML片段 通过这两个函数可以完成...
H5直播行业的安全挑战:为何害怕黑客攻击?
最新发布
@云安全小杜
08-13 480
随着移动互联网的快速发展,H5直播因其便捷性和互动性成为众多平台的选择。然而,这种开放性和交互性也带来了安全风险,使得H5直播行业成为了黑客攻击的目标之一。本文将探讨H5直播面临的常见威胁,并提供一些基本的防御措施。
SQL 注入XPath 注入、代码注入 示例
06-09
这就是 XPath 注入攻击的典型案例。 代码注入示例: 假设我们有一个执行用户输入的代码的功能,对应的代码为: ``` string code = Request.Params["code"]; object result = Eval(code); ``` 攻击者可以通过输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值