实景防御赛制介绍
xxe修补讲解
/var/www/html查看代码发现发现存在 xxe.php 文件,说明考点即为XXE漏洞修复。
libxml_disable_entity_loader(false);修改为libxml_disable_entity_loader(true);即可防止xxe漏洞:
#!/bin/sh
mv xxe.php /app/xxe.php
difjson修补讲解
下发赛题通过平台提供的链接进入环境进行查看,同样首先使用ps -ef 命令 查看所运行的服务:
Spark.post("/", (request, response) -> {
String data = request.body();
data = data.replaceAll("@","");
JSONObject obj = JSON.parseObject(data, new Feature[]{Feature.SupportNonPublicField});
JSONObject ret = new JSONObject();
ret.put("success", 200);
ret.put("data", "this is your " + obj.get("name") + ",you age " + obj.get("age"));
response.status(200);
response.type("application/json");
return ret.toJSONString();
});
#!/bin/sh
mv fst.jar /usr/local/tomcat/webapps/fastjson/fst.jar
原文始发于微信公众号(春秋伽玛):官方WP | 第三届卫生健康行业网安技能大赛实景防御实操训练
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论