一、XPath简介
XPath 是一门在 XML 文档中查找信息的语言。可以理解xml为数据库,xpath就是查询数据库的SQL语言。
- XPath 使用路径表达式在 XML 文档中进行导航
- XPath 包含一个标准函数库
- XPath 是 XSLT 中的主要元素
- XPath 是一个 W3C 标准
XPath语法
XPath 使用路径表达式来选取 XML 文档中的节点或节点集。节点是通过沿着路径 (path) 或者步 (steps) 来选取的。
XML示例:
<?xml version="1.0" encoding="UTF-8"?>
<users>
<user id="1">
<username>admin</username>
<password>admin888</password>
</user>
<user id="2">
<username>root</username>
<password>root123</password>
</user>
</users>选取节点
XPath 使用路径表达式在 XML 文档中选取节点。节点是通过沿着路径或者 step 来选取的。
| 表达式 | 描述 |
|---|---|
| nodename | 选取此节点的所有子节点。 |
| / | 从根节点选取。 |
| // | 从匹配选择的当前节点选择文档中的节点,而不考虑它们的位置。 |
| . | 选取当前节点。 |
| .. | 选取当前节点的父节点。 |
| @ | 选取属性。 |
| 路径表达式 | 结果 |
|---|---|
| users | 选取 users元素的所有子节点。 |
| /users | 选取根元素 users。 注释:假如路径起始于正斜杠( / ),则此路径始终代表到某元素的绝对路径! |
| users/user | 选取属于 users 的子元素的所有 user元素。 |
| //user | 选取所有 user 子元素,而不管它们在文档中的位置。 |
| users//user | 选择属于 users元素的后代的所有 user 元素,而不管它们位于 users 之下的什么位置。 |
谓语
谓语用来查找某个特定的节点或者包含某个指定的值的节点。谓语被嵌在方括号中。
在下面的表格中,列出了带有谓语的一些路径表达式,以及表达式的结果:
| 路径表达式 | 结果 |
|---|---|
| /users/user[1] | 选取属于 users 子元素的第一个 user 元素。 |
| /users/user[last()] | 选取属于 users 子元素的最后一个 user 元素。 |
| /users/user[last()-1] | 选取属于 users 子元素的倒数第二个 user 元素。 |
| /users/user[position()<3] | 选取最前面的两个属于 users 元素的子元素的 user 元素。 |
二、XPath注入
XPath注入攻击是指利用XPath 解析器的松散输入和容错特性,能够在 URL、表单或其它信息上附带恶意的XPath 查询代码,以获得权限信息的访问权并更改这些信息。XPath注入发生在当站点使用用户输入的信息来构造请求以获取XML数据。攻击者对站点发送经过特殊构造的信息来探究站点使用的XML是如何构造的,从而进一步获取正常途径下无法获取的数据。当XML数据被用作账户验证时,攻击者还可以提升他的权限。
案例
用户密码信息保存在user.xml文档中。
<?xml version="1.0" encoding="UTF-8"?>
<users>
<user id="1" username="admin" password="admin888"></user>
<user id="2" username="root" password="root888"></user>
<user id="3" username="system" password="system888"></user>
</users>通过XPath语法在xml文档中查询账户及密码信息。
<?php
header('content-type:text/html;charset=utf-8');
if(isset($_POST['username'])){
$username=$_POST['username'];
$password=$_POST['password'];
$xml=simplexml_load_file('user.xml');
$sql="//user[@username='{$username}' and @password='{$password}']";
$result=$xml->xpath($sql);
print_r($result);
echo "<hr />";
if(count($result)==0){
echo '登陆失败';
}else {
echo '登陆成功';
}
}
注入
XPath语法也支持逻辑与算术运算,故可以和SQL注入类似构造永真条件等运算进行注入,但XPath语法不支持注释,故只能完全拼接语句
下面列出了可用在 XPath 表达式中的运算符:
| 运算符 | 描述 | 实例 | 返回值 |
|---|---|---|---|
| | | 计算两个节点集 | //book | //cd | 返回所有拥有 book 和 cd 元素的节点集 |
| + | 加法 | 6 + 4 | 10 |
| - | 减法 | 6 - 4 | 2 |
| * | 乘法 | 6 * 4 | 24 |
| div | 除法 | 8 div 4 | 2 |
| = | 等于 | price=9.80 | 如果 price 是 9.80,则返回 true。 如果 price 是 9.90,则返回 false。 |
| != | 不等于 | price!=9.80 | 如果 price 是 9.90,则返回 true。 如果 price 是 9.80,则返回 false。 |
| < | 小于 | price<9.80 | 如果 price 是 9.00,则返回 true。 如果 price 是 9.90,则返回 false。 |
| <= | 小于或等于 | price<=9.80 | 如果 price 是 9.00,则返回 true。 如果 price 是 9.90,则返回 false。 |
| > | 大于 | price>9.80 | 如果 price 是 9.90,则返回 true。 如果 price 是 9.80,则返回 false。 |
| >= | 大于或等于 | price>=9.80 | 如果 price 是 9.90,则返回 true。 如果 price 是 9.70,则返回 false。 |
| or | 或 | price=9.80 or price=9.70 | 如果 price 是 9.80,则返回 true。 如果 price 是 9.50,则返回 false。 |
| and | 与 | price>9.00 and price<9.90 | 如果 price 是 9.80,则返回 true。 如果 price 是 8.50,则返回 false。 |
| mod | 计算除法的余数 | 5 mod 2 | 1 |
注入测试:
当然,如果有回显数据,可通过注入其他语句得到xml文件里全部信息。