WEB:Wife_wife

最新推荐文章于 2024-08-06 16:29:45 发布
最新推荐文章于 2024-08-06 16:29:45 发布
阅读量2.7k 收藏 6
点赞数 1
分类专栏: web 攻防世界CTF ctf 文章标签: 前端 javascript 原型模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47210241/article/details/129717963
版权
攻防世界CTF 同时被 3 个专栏收录
23 篇文章 0 订阅
订阅专栏
ctf
23 篇文章 1 订阅
订阅专栏
web
18 篇文章 1 订阅
订阅专栏

WEB:Wife_wife

image-20230322193854880

image-20230322194652956

use by payload:"__proto__"{"isAdmin":true}

image-20230322194859368

image-20230322195000835

get flag

CatCTF{test_flag_h0w_c@n_I_l1ve_w1th0ut_nilou}

参考:https://www.rstk.cn/news/25963.html?action=onClick

CATCTF wife原型链污染

CATCTF wife原型链污染

原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/

如下代码,prototype是newClass类的一个属性。newClass 实例化的对象 newObj.__proto__ 指向 newClass 类的 prototype

function newClass() {this.test = 1;
}var newObj = new newClass();

JSON 解析的情况下,__proto__ 会被认为是一个真正的“键名”,而不代表“原型”。如果是let o2 = {a: 1, "__proto__": {b: 2}}__proto__会被认为是o2的原型。如果作为键名(不会被解析)就会作为子类的原型

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)o3 = {}
console.log(o3.b)

merge用于合并对象

merge 操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

原型链污染

CATCTF 2022 wife

靶场:https://adworld.xctf.org.cn/challenges/details?hash=e5ba95f8-884a-11ed-ab28-000c29bc20bf&task_category_id=3

注册部分的代码:

app.post('/register', (req, res) => {let user = JSON.parse(req.body)if (!user.username || !user.password) {return res.json({ msg: 'empty username or password', err: true })}if (users.filter(u => u.username == user.username).length) {return res.json({ msg: 'username already exists', err: true })}if (user.isAdmin && user.inviteCode != INVITE_CODE) {user.isAdmin = falsereturn res.json({ msg: 'invalid invite code', err: true })}let newUser = Object.assign({}, baseUser, user)users.push(newUser)res.json({ msg: 'user created successfully', err: false })
})

json解析后,利用Object.assign()创建子类newUser,push进users

这里传入payload:"__proto__"{"isAdmin":true}造成原型链污染,生成的user用户拥有isAdmin=true
在这里插入图片描述

32进制
关注
专栏目录
【网络安全 | CTF】攻防世界wife_wife解题详析
等风来
07-23 5300
若isAdmin的属性是true,则它为管理员,否则为普通用户;于是我们可构造污染。该题涉及Java Script原型链污染。可以看到,后端编程语言为Node.js,
攻防世界 web篇(一)
weixin_51387754的博客
09-08 1799
攻防世界 是一群信息安全大咖共同研究的答题、竞赛、以游戏方式结合的一款新型学习平台,融入多种场景在线题型,集实战、理论、趣味于一体。
web | CTF】攻防世界 wife_wife
weixin_46301214的博客
06-06 5075
我暂时没搞明白这题目意义何在,好像跟实战有点偏离的太远了,用JavaScript服务器来处理登录?账号密码不存放数据库?存缓存里?能让所有人注册管理员账号?太扯淡了。
攻防世界wife_wife
最新发布
weixin_54638628的博客
08-06 388
抓到包,将数据包发送到Repeater,构造"__proto__":{"isAdmin":true},发送。用户注册成功,返回登录,得到flag。开启burp抓包,输入账号密码注册。开启场景,输入账号密码,要求注册。
【愚公系列】2023年06月 攻防世界-Webwife_wife
时光隧道
06-13 4914
JavaScript原型链污染是一种黑客攻击方式,利用JavaScript中的原型继承链来污染一个对象的原型继承链,从而影响整个应用程序的执行逻辑。攻击者会利用一些漏洞或者不恰当的代码实现,将恶意代码注入到原型对象中,然后通过继承链的方式将恶意代码传递给整个应用程序。攻击者通常将恶意代码注入到全局对象或者重要对象的原型中,例如等,从而污染整个应用程序。jQuery Prototype Pollution漏洞:攻击者通过修改jQuery的方法来污染,使得在后续的代码中,可以在任何位置调用。
wife_wife ctf
m0_63017769的博客
06-16 589
网站可以登录可以注册,除此之外没别的了。随便注册个用户登录也只能得到假flag。直接把false改成true重发是没用的。可以看看github上别人给出的源码查阅资料,原来也能触发原型链污染。的作用是把baseUser和user的属性合并后拷贝到{}中,即newUser是baseUser和user的集合体。baseUser猜测是user类似父类的东西,user应该就是上面的部分了。然后登录注册的用户即可得到flag。看了这篇相信这道题就很简单了。
攻防世界 wife_wife
qq_70851535的博客
05-21 1695
查看提示:不需要爆破。
【攻防世界】wife_wife
wangzhemvp的博客
04-09 459
原型链污染不太准确的理解就是“父类影响子类”,一个子类继承于父类后,父类有什么属性子类就有什么属性。比如这里我们的注册信息data按照json的形式传入,JSON.parse后得到一个对象。比较容易搞混的地方来了,这个__proto__是键名,单纯是个键名,值为{“isAdmin”:true},而不是类的原型对象prototype。baseUser猜测是user类似父类的东西,user应该就是上面的。尝试读取isAdmin属性时会顺着上去找父类的,得到true,进入if语句赋值就没用了。
Python之Pandas超详细入门教程 -- 第四章 Pandas中文件读取与存储【基础篇】
hhladminhhl的博客
10-20 1490
我们的数据大部分存在于文件当中,所以pandas会支持复杂的IO操作,pandas的API支持众多的文件格式,如CSV、SQL、XLS、JSON、HDF5。 注:最常用的HDF5和CSV文件。 1 CSV 1.1 read_csv pandas.read_csv(filepath_or_buffer, sep =’,’, usecols ) filepath_or_buffer:文件路径 sep :分隔符,默认用","隔开 usecols:指定读取的列名,列表形式 举例:读取之前的股票的数据
攻防世界 WEB
BvxiE的博客
02-11 1188
攻防世界 新手区 WEBview sourcerobots​​​​backup功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 view source 查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了,那就F12吧!​ 或
python基础笔记二_面向对象
李富贵的博客
02-01 755
面向对象 Object Oriented 概述 面向过程 1.分析出解决问题的步骤,然后逐步实现。 例如:婚礼筹办 -- 发请柬(选照片、措词、制作) -- 宴席(场地、找厨师、准备桌椅餐具、计划菜品、购买食材) -- 婚礼仪式(定婚礼仪式流程、请主持人) 2.公式:程序 = 算法 + 数据结构 3.优点:所有环节、细节自己掌控。 4.缺点:考虑所有细节,工作量大。 面向对象 1.找出...
CATCTF wife原型链污染
qq_51796436的博客
02-21 1084
原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/如下代码,prototype是newClass类的一个属性。newClass实例化的对象newObj的.__proto__指向newClass类的JSON 解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”。如果是则__proto__会被认为是o2的原型。
攻防世界PWN之Welpwn题解
seaaseesa的博客
11-06 1580
首先用IDA查看 发现主函数不能栈溢出,我们看看echo这个函数 echo会把主函数输入的字符串复制到局部的s2里,并且s2只有16字节,可以造成溢出。Echo函数先循环复制字符到s2,如果遇到0,就结束复制,然后输出s2。因此,我们如果想直接覆盖函数返回地址,那么我们的目标函数必须没有参数,否则,我们用p64(…)包装地址时,必然会出现0。 比如我们的payload为payload...
XCTF-PWN welpwn
万丈⾼楼平地起,勿在浮沙筑⾼台学艺不精的安全菜鸡,改行回家养猪了,对博客有疑问欢迎留言,看到一定回
03-16 642
使用LibcSearcher解法 使用GDB动态调试下,发现 0x7fffffffdae0-0x7fffffffdb00是函数是echo的栈帧 0x7fffffffdb00开始就是属于main函数的栈帧 0x7fffffffdb00-0x7fffffffdb08是上一个栈帧的rbp,已经被覆盖 0x7fffffffdb08-0x7fffffffdb0f是retn返回的地址 可以通过4个pop把...
攻防世界misc高手进阶篇教程(5)
玄道的网安博客
05-28 3794
Mysql 在mysql文件中ib_logfile0有flag 恶臭的数据包 Wireshark是看的有些懵 我们用aircrack-ng查看信息 然后再破解WiFi密码 aircrack-ng cacosmia.cap -w /usr/share/wordlists/fasttrack.txt 打开Wireshark 编辑->首选项->Protocols->IEEE 802.11 发现有个数据包里有PK就是zip,变成原始数据保存下来 需要密码
SAP 10策略、11策略、30策略、40策略、52策略、63策略测试记录
qq_55488207的博客
08-11 636
直接跳转大佬链接:https://www.rstk.cn/news/882855.html?action=onClick
ctf题目
qq_46132256的博客
09-04 377
高不够时先查看图片属性长宽转为16进制,再使用010editor等二进制查看图片长宽的十六进制并修改。
IIC驱动理论与实例分析
又见南风的博客
09-01 183
不啰嗦,直接从驱动开讲,需要学习IIC协议基础知识的可以先看这篇文章:https://www.rstk.cn/news/369263.html?提示:需要了解 IIC 的帧格式、读写/命令模式才能彻底了解 i2c_msg 的使用。不想进半导体厂的驱动工程师直接看 设备驱动和设备驱动编写!!!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值