XPath-XCatXPath 注入漏洞利用工具

XCat是一個(gè)命令行程序,用于輔助XPath注入漏洞的利用。XCat使用Python編寫并開放源代碼。XCat正常使用需要python的SimpleXMLWriter模塊。

它支持大量功能：

• 自動(dòng)選擇進(jìn)樣（運(yùn)行xcat injections列表）

• 檢測xpath解析器的版本和功能，并選擇最快的檢索方法

• 內(nèi)置越界HTTP服務(wù)器

  • 自動(dòng)化XXE攻擊
  • 可以使用OOB HTTP請(qǐng)求大大加快檢索速度

• 自定義請(qǐng)求標(biāo)頭和正文

• 內(nèi)置REPL外殼，支持：

  • 讀取任意文件
  • 讀取環(huán)境變量
  • 列出目錄
  • 上載/下載文件（TM）

• 優(yōu)化檢索

  • 如果可用，對(duì)unicode代碼點(diǎn)使用二進(jìn)制搜索
  • 回退包括搜索先前首先檢索到的常用字符
  • 規(guī)范化unicode以減少搜索空間