0x01 题目描述
我们打开题目,是一个简单的登录注册页面
0x02 解题过程
首先我们随便注册一个账户试试
我们直接F12查看源码,我们可以看见图片的src
1、我们这儿便联想到ssrf,我们试试看可不可以读取源码,通过测试,我们发现用户名必须和图片的名称相对应,否则会报错,于是我们便可以通过?绕过这个限制,根据题目提示,此网站由js的express搭建,我们知道一般js框架都有package.json文件,于是我们注册用户名为../package.json?,这样便可以读取package.json文件了,由于这个文件在img标签里,所以图片无法显示,我们可以先把图片下载下来,然后用记事本打开就可以,根据提示,flag在根目录/flag中。
2、package.json 显示主入口为mainapp.js,所以继续注册读取mainapp.js文件, 发现路由在 /routers/index.js文件 继续读取 ,读取 /routers/index.js 可以看到有个 VerYs3cretWwWb4ck4p33441122.zip 路由 直接在web上访问即可下载源代码。接下来的便是审计代码了。
3、然后就是白盒审计,可以发现注册登录功能采用了jwt认证,每个人拥有自己独立的jwt secret 并且存在于服务端一个列表中,并且不同用户secret列表对应的id存储在了jwt中,登陆的时候会直接从jwt token中读取id 然后通过列表获取secret 进行解密,这里有个trick,node的jsonwebtoken 有个bug,当jwt secret为空时 jsonwebtoken会采用algorithm none进行解密 又因为服务端 通过
var secret = global.secretlist[id];
jwt.verify(req.cookies.token,secret);
解密,我可以通过传入不存在的id,让secret为undefined,导致algorithm为none,然后就可以通过伪造jwt来成为admin
import jwt
token = jwt.encode({"id":-1,"username":"admin","password":"123456"},algorithm="none",key="").decode(encoding='utf-8')
print(token)
4、成为admin后,就可以访问admin23333_interface接口 审计可以发现,这是一个读取文件的接口 这里用到了express的特性,当传入?a[b]=1的时候,变量a会自动变成一个对象 a = {"b":1} 所以可以通过传入name为一个对象,避开进入if判断 从而绕过第一层
if(!/^key$/im.test(req.query.name.filename))return res.sendStatus(500);
的白名单过滤 第二个过滤是 判断filename 不能大于3,否者会过滤.和/,而读取flag需要先目录穿越到根目录 而../就已经占了3个字符,再加上flag肯定超过限制 这时候可以换个思路,length不仅可以取字符串长度还可以取数组长度,把filename设数组,再配合下面的循环 即可完美绕过过滤 而express 中当碰到两个同名变量时,会把这个变量设置为数组,例如a=123&a=456 解析后 a = [123,456],所以最终组合成
/admin23333_interface?name[filename]=../&name[filename]=f&name[filename]=l&name[filename]=a&name[filename]=g
此时 name={"filename":["../", "f", "l", "a", "g"]}
完美绕过 if(c !== "/" && c!==".")
扫一扫
3375
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
