XXE外部实体注入漏洞之——CTF考题补充与——及XXE漏洞修复

CTF考题 测试及漏洞修复

扩展考题

	jarvisoj 上的一道题目 API 调用

这道题的题目说明是 请设法获得目标机器/home/ctf/flag.txt 中的 flag 值。
进入题目 http://web.jarvisoj.com:9882/ 发现一个输入框,我们对其进行抓包
是一个 json 数据提交,修改数据发现可以被解析
这是一道 xxe 的题,怎么获取 flag?只要将 json 处改为 xml,然后提交 xml 文档即可

XXE 漏洞修复与防御

如下针对三种语言的配置更改
PHP
libxml_disable_entity_loader(true);

JAVA
DocumentBuilderFactory dbf =DocumentBuilderFactory.newInstance();
dbf.setExpandEntityReferences(false);
setFeature(“http://apache.org/xml/features/disallow-doctype-decl”,true);
setFeature(“http://xml.org/sax/features/external-general-entities”,false)
setFeature(“http://xml.org/sax/features/external-parameter-entities”,false);

Python
from lxml import etree
xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

手动黑名单过滤(不推荐)
过滤关键词: xee 渗透学习参考
参考地址:https://xz.aliyun.com/t/3357
阿里云上的 一篇文章带你深入了解XXE,是目前最全的一个总结了,有兴趣可以看一下

你可能感兴趣的:(#+,XXE外部实体注入漏洞,web渗透测试与代码审计)