【31】WEB安全学习----XPath注入

一、XPath简介

XPath 是一门在 XML 文档中查找信息的语言。可以理解xml为数据库，xpath就是查询数据库的SQL语言。

• XPath 使用路径表达式在 XML 文档中进行导航
• XPath 包含一个标准函数库
• XPath 是 XSLT 中的主要元素
• XPath 是一个 W3C 标准

XPath语法

XPath 使用路径表达式来选取 XML 文档中的节点或节点集。节点是通过沿着路径 (path) 或者步 (steps) 来选取的。

XML示例：

  admin
  admin888



  root
  root123

选取节点

XPath 使用路径表达式在 XML 文档中选取节点。节点是通过沿着路径或者 step 来选取的。

表达式	描述
nodename	选取此节点的所有子节点。
/	从根节点选取。
//	从匹配选择的当前节点选择文档中的节点，而不考虑它们的位置。
.	选取当前节点。
..	选取当前节点的父节点。
@	选取属性。

路径表达式	结果
users	选取 users元素的所有子节点。
/users	选取根元素 users。 注释：假如路径起始于正斜杠( / )，则此路径始终代表到某元素的绝对路径！
users/user	选取属于 users 的子元素的所有 user元素。
//user	选取所有 user 子元素，而不管它们在文档中的位置。
users//user	选择属于 users元素的后代的所有 user 元素，而不管它们位于 users 之下的什么位置。

谓语

谓语用来查找某个特定的节点或者包含某个指定的值的节点。谓语被嵌在方括号中。

在下面的表格中，列出了带有谓语的一些路径表达式，以及表达式的结果：

路径表达式	结果
/users/user[1]	选取属于 users 子元素的第一个 user 元素。
/users/user[last()]	选取属于 users 子元素的最后一个 user 元素。
/users/user[last()-1]	选取属于 users 子元素的倒数第二个 user 元素。
/users/user[position()<3]	选取最前面的两个属于 users 元素的子元素的 user 元素。

二、XPath注入

XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在 URL、表单或其它信息上附带恶意的XPath 查询代码，以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来构造请求以获取XML数据。攻击者对站点发送经过特殊构造的信息来探究站点使用的XML是如何构造的，从而进一步获取正常途径下无法获取的数据。当XML数据被用作账户验证时，攻击者还可以提升他的权限。

案例

用户密码信息保存在user.xml文档中。

通过XPath语法在xml文档中查询账户及密码信息。

xpath($sql);
        print_r($result);
        echo "
";
        if(count($result)==0){
            echo '登陆失败';
        }else {
            echo '登陆成功';
        }
    }

注入

XPath语法也支持逻辑与算术运算，故可以和SQL注入类似构造永真条件等运算进行注入，但XPath语法不支持注释，故只能完全拼接语句

下面列出了可用在 XPath 表达式中的运算符：

运算符	描述	实例	返回值
|	计算两个节点集	//book | //cd	返回所有拥有 book 和 cd 元素的节点集
+	加法	6 + 4	10
-	减法	6 - 4	2
*	乘法	6 * 4	24
div	除法	8 div 4	2
=	等于	price=9.80	如果 price 是 9.80，则返回 true。 如果 price 是 9.90，则返回 false。
!=	不等于	price!=9.80	如果 price 是 9.90，则返回 true。 如果 price 是 9.80，则返回 false。
<	小于	price<9.80	如果 price 是 9.00，则返回 true。 如果 price 是 9.90，则返回 false。
<=	小于或等于	price<=9.80	如果 price 是 9.00，则返回 true。 如果 price 是 9.90，则返回 false。
>	大于	price>9.80	如果 price 是 9.90，则返回 true。 如果 price 是 9.80，则返回 false。
>=	大于或等于	price>=9.80	如果 price 是 9.90，则返回 true。 如果 price 是 9.70，则返回 false。
or	或	price=9.80 or price=9.70	如果 price 是 9.80，则返回 true。 如果 price 是 9.50，则返回 false。
and	与	price>9.00 and price<9.90	如果 price 是 9.80，则返回 true。 如果 price 是 8.50，则返回 false。
mod	计算除法的余数	5 mod 2	1

注入测试：

当然，如果有回显数据，可通过注入其他语句得到xml文件里全部信息。