XPath注入

墨蓝 2021-12-23 00:13 327阅读 0赞

## **0x00：介绍** ##

我们都知道数据库，以表的形式来存储数据。除了数据库还有一种方式即以文件形式存储，例如 xml 文件 txt 文件等。当然像文件存储数据一般很少用，文件存储有弊端，数据过多时，读写都很慢没有索引。一些配置性的东西可能会存到 xml 文件中。xml 存数据结构和 html 有点像，比如根结点、子节点、属性节点、文本等。

<?xml version="1.0" encoding="ISO-8859-1"?>
 <bookstore>
 <book>
 <title lang="eng">Harry Potter</title>
 <price>29.99</price>
 </book>
 <book>
 <title lang="eng">Learning XML</title>
 <price>39.95</price>
 </book>
 </bookstore>

像上面这个 xml 数据存储，书库 bookstore 就是根结点，book 书就是它的子节点，书名 title 的 lang 语言就是属性节点，书名价格那些内容就是文本。当需要读取这些数据的时候，数据库都有增删改查语法，xml 的读取也有自己的语法，这个读取方法就叫 xpath。语法这里不介绍了，直接到 w3c 等网站花十分钟过一遍即可。

## **0x01：示例** ##

这个和 sql 注入原理一样，读取数据的时候没过滤导致可以读到所有的内容，这是 xpath 最主要的危害，还有一个是有些用户认证的信息会放在 xml 文件中，xpath 可以登录，这两个例子 bwapp 都有，先看下登录。

![请输入图片描述][format_png]

账号和密码输对了就会提示欢迎信息，如果做黑盒测试，其实完全就是一个 sql 注入测试，输入 1'or'1'='1 就能登录。这个很简单，了解源码和原理才是主要的，定位到这个文件 xmil1.php，核心代码如下。

if(isset($_REQUEST["login"]) & isset($_REQUEST["password"])){
 $login = $_REQUEST["login"];
 $login = xmli($login);
 
 $password = $_REQUEST["password"];
 $password = xmli($password);
 
 // Loads the XML file
 $xml = simplexml_load_file("passwords/heroes.xml");
 
 // XPath search
 $result = $xml->xpath("/heroes/hero[login='" . $login . "' and password='" . $password . "']");
 
 if($result){
 $message = "Welcome " . ucwords($result[0]->login) . ", how are you today?Your secret: " . $result[0]->secret . "";
 }else{
 $message = "Invalid credentials!";
 }

这里 request 接受到用户输入的用户名和密码后用 xmli 进行了处理，低级时此函数不做任何过滤，然后程序使用 simplexml\_load\_file 函数加载了 heroes.xml 文件，随后使用了其下的 xpath 方法来执行查询语法（查询 heroes 节点下的 hero 节点下的 login 和 password 节点的值是否有匹配相等的），这里用户名和密码未作过滤直接拼接的所以造成了 xpath 注入。heroes.xml 没有什么可分析的，核心内容如下。

<?xml version="1.0" encoding="UTF-8"?>
 <heroes>
 <hero>
 <id>1</id>
 <login>neo</login>
 <password>trinity</password>
 <secret>Oh why didn't I took that BLACK pill?</secret>
 <movie>The Matrix</movie>
 <genre>action sci-fi</genre>
 </hero>
 </heroes>

上面是登录的示例，遇到的很少，黑盒测试可以当作注入测，下面看一下搜索的例子，这里的搜索是选择相应的下拉菜单搜索不同的内容。

![请输入图片描述][format_png 1]

理论来测的话，输入单引号加上 or 等看可不可以返回所有的信息，但这里的搜索用了 xpath 的包含关键字功能，所以直接单引号 or 这些行不通，这里如果有源码可以很方便的查看程序是怎么实现的，方便构造 payload，如果是黑盒测试，单从功能来看，基本分不出来是 sql 还是 xpath，有些程序会返回错误信息并打印错误语句，这个便于我们判断，但如果是固定的错误，我们可能就需要盲测。

if(isset($_REQUEST["genre"])) {
        $genre = $_REQUEST["genre"];
        $genre = xmli($genre);
    
        $xml = simplexml_load_file("passwords/heroes.xml");
     
        $result = $xml->xpath("//hero[contains(genre, '$genre')]/movie");
    }

以上就是这个搜索的核心代码，还是加载的 heroes.xml 文件（结构参考登录示例），这里的 xpath 使用了 contains 包含函数，测试包含的那个节点是 genre，从而这个查询就变成了 hero 节点下的 genre 节点包含 xxx 关键字的 movie 节点内容。构造 payload 首先需要知道 xpath 路径是什么样子的，即如果传入了 action，这个语法是什么。

传入 action 后：//hero\[contains('action')\]/movie，随后我们可以利用单引号小括号中括号来闭合 contains 函数，然后利用 xpath 语法的或 | 来闭合后面的内容，使用 //* 来查询所有的子节点，故 payload 为：action')\]|//*|//*\[('，这样就构成了一个完整的 xpath 查询方法，包含了三个查询方法。//hero\[contains('action')\]|//*|//\*\[('')\]/movie。

## **0x02：防护措施** ##

对于 xpath 防护和普遍的注入方法一样，首要的就是后端过滤用户传来的内容，即使前端是下拉框选择的这种也应该过滤， 避免恶意攻击者抓包修改数据。建议最好也过滤一下 xpath 的一些函数，因为如果碰到盲注的情况，我们可以尝试一些 xpath 函数试错。

## **0x03：总结** ##

xpath 在黑盒测试中不好判断的时候，这时可以尝试让系统报一些错误信息，或搜集一些系统信息，看有没有 xpath 等操作的标识，白盒直接看代码构造 payload 即可。如果确定是 xpath 操作，然后又没有源码的情况下，可以多尝试些 xpath 的一些函数，类似于 sql 注入时的手工注入。

--------------------

**                                                                              公众号推荐：aFa攻防实验室**

** 分享关于信息搜集、Web安全、内网安全、代码审计、红蓝对抗、Java、Python等方面的东西。**

![20191220230427373.jpg][]

[format_png]: /images/20211220/8521426573c842889453e8af19686e45.png
[format_png 1]: /images/20211220/9ce43f32bbb34df5bfc724e8f5ed5a9e.png
[20191220230427373.jpg]: /images/20211220/134a9e33a90e47d18014de7507b96377.png