XPath injection

Edit by Qsaka

---

本文以HCTF2015 injection一题为例，来分析 XPath 注入攻击。

HCTF2015 injection

题目源码如下

//index.php  

xpath($query);
    foreach($ans as $x => $x_value)
    {
        echo $x.":  " . $x_value;
        echo "
";
    }
}
?>  

//t3stt3st.xml  



    
        user1
        KEY:1
        user2
        KEY:2
        user3
        KEY:3
        user4
        KEY:4
        user5
        KEY:5
        user6
        KEY:6
        user7
        KEY:7
        user8
        KEY:8
        user9
        KEY:9
    
        
        hctf
        flag:hctf{Dd0g_fac3_t0_k3yboard233}
    

XPath基础

XPath 是一门在 XML 文档中查找信息的语言。

结点

在 XPath 中，有七种类型的节点：元素、属性、文本、命名空间、处理指令、注释以及文档节点（或称为根节点）。节点之间存在父、子、先辈、后代、同胞关系，以t3stt3st.xml为例
根节点 、元素节点 、属性节点name='user1'
是和的父节点，同时也是的先辈。和是同胞节点。

路径表达式

表达式	描述
nodename	选取此节点的所有子节点
/	从根节点选取
//	从匹配选择的当前节点选择文档中的节点，而不考虑它们的位置
.	选取当前节点
..	选取当前节点的父节点
@	选取属性
[]	查找某个特定的节点或者包含某个指定的值的节点。

通配符

通配符	描述
*	匹配任何元素节点
@*	匹配任何属性节点
node()	匹配任何类型的节点

选取若干路径

通过在路径表达式中使用“|”运算符，可以选取若干个路径。

XPath注入

从index.php源码可知XPath查询语句为$query="user/username[@name='".$user."']"， 且$user经过关键字替换。但是黑名单$re中都为SQL关键字，所以并不影响对XPath进行注入。我们可以构造payload如 ']|//*|zzz['来进行注入，获取文档中的所有元素节点。

Reference

HCTF2015 writeup
XPath基础教程