【31】WEB安全學習----XPath注入
一、XPath簡介
XPath 是一門在 XML 文件中查詢資訊的語言。可以理解xml為資料庫,xpath就是查詢資料庫的SQL語言。
- XPath 使用路徑表示式在 XML 文件中進行導航
- XPath 包含一個標準函式庫
- XPath 是 XSLT 中的主要元素
- XPath 是一個 W3C 標準
XPath語法
XPath 使用路徑表示式來選取 XML 文件中的節點或節點集。節點是通過沿著路徑 (path) 或者步 (steps) 來選取的。
XML示例:
<?xml version="1.0" encoding="UTF-8"?> <users> <user id="1"> <username>admin</username> <password>admin888</password> </user> <user id="2"> <username>root</username> <password>root123</password> </user> </users>
選取節點
XPath 使用路徑表示式在 XML 文件中選取節點。節點是通過沿著路徑或者 step 來選取的。
| 表示式 | 描述 |
|---|---|
| nodename | 選取此節點的所有子節點。 |
| / | 從根節點選取。 |
| // | 從匹配選擇的當前節點選擇文件中的節點,而不考慮它們的位置。 |
| . | 選取當前節點。 |
| .. | 選取當前節點的父節點。 |
| @ | 選取屬性。 |
| 路徑表示式 | 結果 |
|---|---|
| users | 選取 users元素的所有子節點。 |
| /users |
選取根元素 users。 註釋:假如路徑起始於正斜槓( / ),則此路徑始終代表到某元素的絕對路徑! |
| users/user | 選取屬於 users 的子元素的所有 user元素。 |
| //user | 選取所有 user 子元素,而不管它們在文件中的位置。 |
| users//user | 選擇屬於 users元素的後代的所有 user 元素,而不管它們位於 users 之下的什麼位置。 |
謂語
謂語用來查詢某個特定的節點或者包含某個指定的值的節點。謂語被嵌在方括號中。
在下面的表格中,列出了帶有謂語的一些路徑表示式,以及表示式的結果:
| 路徑表示式 | 結果 |
|---|---|
| /users/user[1] | 選取屬於 users 子元素的第一個 user 元素。 |
| /users/user[last()] | 選取屬於 users 子元素的最後一個 user 元素。 |
| /users/user[last()-1] | 選取屬於 users 子元素的倒數第二個 user 元素。 |
| /users/user[position()<3] | 選取最前面的兩個屬於 users 元素的子元素的 user 元素。 |
二、XPath注入
XPath注入攻擊是指利用XPath 解析器的鬆散輸入和容錯特性,能夠在 URL、表單或其它資訊上附帶惡意的XPath 查詢程式碼,以獲得許可權資訊的訪問權並更改這些資訊。XPath注入發生在當站點使用使用者輸入的資訊來構造請求以獲取XML資料。攻擊者對站點發送經過特殊構造的資訊來探究站點使用的XML是如何構造的,從而進一步獲取正常途徑下無法獲取的資料。當XML資料被用作賬戶驗證時,攻擊者還可以提升他的許可權。
案例
使用者密碼資訊儲存在user.xml文件中。
<?xml version="1.0" encoding="UTF-8"?>
<users>
<user id="1" username="admin" password="admin888"></user>
<user id="2" username="root" password="root888"></user>
<user id="3" username="system" password="system888"></user>
</users>通過XPath語法在xml文件中查詢賬戶及密碼資訊。
<?php
header('content-type:text/html;charset=utf-8');
if(isset($_POST['username'])){
$username=$_POST['username'];
$password=$_POST['password'];
$xml=simplexml_load_file('user.xml');
$sql="//user[@username='{$username}' and @password='{$password}']";
$result=$xml->xpath($sql);
print_r($result);
echo "<hr />";
if(count($result)==0){
echo '登陸失敗';
}else {
echo '登陸成功';
}
}
注入
XPath語法也支援邏輯與算術運算,故可以和SQL注入類似構造永真條件等運算進行注入,但XPath語法不支援註釋,故只能完全拼接語句
下面列出了可用在 XPath 表示式中的運算子:
| 運算子 | 描述 | 例項 | 返回值 |
|---|---|---|---|
| | | 計算兩個節點集 | //book | //cd | 返回所有擁有 book 和 cd 元素的節點集 |
| + | 加法 | 6 + 4 | 10 |
| - | 減法 | 6 - 4 | 2 |
| * | 乘法 | 6 * 4 | 24 |
| div | 除法 | 8 div 4 | 2 |
| = | 等於 | price=9.80 |
如果 price 是 9.80,則返回 true。 如果 price 是 9.90,則返回 false。 |
| != | 不等於 | price!=9.80 |
如果 price 是 9.90,則返回 true。 如果 price 是 9.80,則返回 false。 |
| < | 小於 | price<9.80 |
如果 price 是 9.00,則返回 true。 如果 price 是 9.90,則返回 false。 |
| <= | 小於或等於 | price<=9.80 |
如果 price 是 9.00,則返回 true。 如果 price 是 9.90,則返回 false。 |
| > | 大於 | price>9.80 |
如果 price 是 9.90,則返回 true。 如果 price 是 9.80,則返回 false。 |
| >= | 大於或等於 | price>=9.80 |
如果 price 是 9.90,則返回 true。 如果 price 是 9.70,則返回 false。 |
| or | 或 | price=9.80 or price=9.70 |
如果 price 是 9.80,則返回 true。 如果 price 是 9.50,則返回 false。 |
| and | 與 | price>9.00 and price<9.90 |
如果 price 是 9.80,則返回 true。 如果 price 是 8.50,則返回 false。 |
| mod | 計算除法的餘數 | 5 mod 2 | 1 |
注入測試:
當然,如果有回顯資料,可通過注入其他語句得到xml檔案裡全部資訊。