Web进阶漏洞——XPath注入

时间:2024-03-23 07:24:53
  • 什么是XPath?

XPath 是一门在 XML 文档中查找信息的语言。XPath使用路径表达式在 XML 文档中通过元素和属性进行导航。

  • XPath使用实例

下面直接上具体实例来为大家大体介绍XPath的用法:
先使用一个xml文档例子:

<?xml version="1.0" encoding="ISO-8859-1"?> HAHA 1 HEHE 2

因为XPath 使用路径表达式在 XML 文档中选取节点
列出几个常用的路径表达式:
nodename 选取此节点的所有子节点。
/ 从根节点选取。
// 从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。
. 选取当前节点。
… 选取当前节点的父节点。
@ 选取属性。

world 选取 world 元素的所有子节点。
/world 选取根元素world。
注释:假如路径起始于正斜杠( / ),则此路径始终代表到某元素的绝对路径!

world/china 选取属于world的子元素的所有china元素。
//china 选取所有 china 子元素,而不管它们在文档中的位置。
world//china 选择属于world元素的后代的所有china元素,而不管它们位于 bookstore 之下的什么位置。
//@lang 选取名为 lang 的所有属性。

/world/china[1] 选取属于world子元素的第一个china元素。
/world/china[last()] 选取属于 world子元素的最后一个china元素。
/world/china[last()-1] 选取属于world子元素的倒数第二个china元素。
/world/china[position()< 3] 选取最前面的两个属于world元素的子元素的china元素。
//title[@lang] 选取所有拥有名为 lang 的属性的 title 元素。
//title[@lang=‘eng’] 选取所有 title 元素,且这些元素拥有值为 eng 的 lang 属性。
/world/china[rank<10] 选取 world 元素的所有 china 元素,且其中的 rank元素的值须小于 10。
/world/china[rank<10]/title 选取 world元素中的 china元素的所有 title 元素,且其中的 rank 元素的值须小于 10。

*匹配任何元素节点。
@
匹配任何属性节点。
node() 匹配任何类型的节点。

/world/* 选取 world元素的所有子元素。
//* 选取文档中的所有元素。
//title[@*] 选取所有带有属性的 title 元素。

学习了这么多
来看一句XPath典型查询语句
//users/user[loginID/text()=‘XPath’ and password/text()=‘Xpathtest’]
在此我们可以利用与SQL注入类似的原理,对这句话进行注入
//users/user[loginID/text()=‘XPath’ or ‘1’=‘1’ and password/text()=‘Xpathtest’ or ‘1’=‘1’]
也就是进行一定的语句拼接,从而绕过验证
这是对用户身份认证时出现的Xpath注入

还有一种就是在查询过程中出现的问题
在BWAPP靶场中1.17 的名字交做XML/XPath Injection (Search)正好符合我们要指出的问题。
Web进阶漏洞——XPath注入来看一下,正常尝试注入后并没有得到想要的回显。
Web进阶漏洞——XPath注入
几番尝试无果后,只能通过白盒审计看看有没有什么问题。
发现了几句很关键的话。
Web进阶漏洞——XPath注入
最为关键的是这句话
$result = $xml->xpath("//hero[contains(genre, '$genre')]/movie");
Web进阶漏洞——XPath注入
闭合相应的单引号,中括号,小括号后,利用xml语法,使用**’|’**可以引用若干路径。
成功获取所有用户密码。