Week小结

已于 2022-07-15 13:51:25 修改
阅读量317 收藏
点赞数
文章标签: 大数据
于 2022-07-15 12:54:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61209261/article/details/125802075
版权

这周就主要学了node.js的几个漏洞

1.原型链污染

[GYCTF2020]Ez_Express[GKCTF 2021]easynode

感觉之前博客写的原型链污染 写的不太完整

这里再补充一下

// foo是一个简单的JavaScript对象
let foo = {bar: 1}

// foo.bar 此时为1
console.log(foo.bar)

// 修改foo的原型(即Object)
foo.__proto__.bar = 2

// 由于查找顺序的原因,foo.bar仍然是1
console.log(foo.bar)

// 此时再用Object创建一个空的zoo对象
let zoo = {}

// 查看zoo.bar
console.log(zoo.bar)

image-20220412215155370 

最后,虽然zoo是一个空对象{},但zoo.bar的结果居然是2:

作用就是篡改值 这就是原型链污染

用ezpress里的merge函数

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

image-20220412215913820 

但是没有污染到

这是因为,我们用JavaScript创建o2的过程(let o2 = {a: 1, “__proto__”: {b: 2}})中,__proto__已经代表o2的原型了,此时遍历o2的所有键名,你拿到的是[a, b],__proto__并不是一个key,自然也不会修改Object的原型。

总而言之就是__proto__没有被当作键名而是被解析了

就让__proto__被当作键名就好了

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

 image-20220412220705749

这是因为,JSON解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”,所以在遍历o2的时候会存在这个键。

merge操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

所以适用的环境是 可以对对象赋值,且值可控,支持__proto__解析

具体而言就是 例如merge函数 ,或者框架漏洞(大部分框架都有赋值操作,只要有人挖出来链子就可以污染

2.node.js 8.12.0HTTP拆分攻击

[GYCTF2020]Node Game

然后就是一些小的操作 EZ_express里node.js特有的toupperCase函数

特殊字符绕过
toUpperCase()

其中混入了两个奇特的字符"ı"、"ſ"。

 这两个字符的“大写”是I和S。也就是说"ı".toUpperCase() == 'I',
"ſ".toUpperCase() == 'S'。通过这个小特性可以绕过一些限制。

toLowerCase()
这个"K"的“小写”字符是k,也就是"K".toLowerCase() == 'k'.

eazynode里的WAF弱比较绕过配合语句拼接 还有反弹shell

node game里的那个版本的HTTP拆分攻击和SSRF

这样看好像学得不多

但是操作起来还是挺难受的

像比赛知道怎么做但写不出ep一样

慢慢来吧

怪小生失了神
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP的基本常识小结
12-19
- `strtotime()`函数将字符串转换为Unix时间戳,支持相对时间如"next week"或"last year"。 - `date()`和`strftime()`函数将Unix时间戳格式化为易读的日期和时间,`strftime()`通常更灵活,能处理各种格式。 4. *...
PHP时间戳和日期相互转换操作实例小结
12-18
- 上周的时间戳:`strtotime("-1 week")` 这些函数提供了灵活的方式来处理日期和时间,无论是将它们转换为用户友好的格式,还是进行比较或计算。在实际开发中,可以根据需求结合这些函数实现各种时间相关的功能,...
[GYCTF2020]Node Game
qq_61209261的博客
07-14 587
node.js 8.12.0 HTTP拆分攻击
从 [GYCTF2020]Node Game 了解 nodejs HTTP拆分攻击
ShenZ的博客
08-29 974
nodejs HTTP拆分攻击 nodejs 8.12 Node.js API 文档 当 Node.js 使用 http.get 向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击 原理 Unicode原理 对于不包含主体的请求,Node.js默认使用“latin1”,这是一种单字节编码字符集,不能表示高编号的Unicode字符,例如????这个表情。所以,当我们的请求路径中含有多字节编码的Unico
[GYCTF2020]Node Game-nodejs通过拆分攻击实现的SSRF攻击
cjdgg的博客
08-16 1565
[GYCTF2020]Node Game 漏洞:通过拆分请求实现的SSRF攻击 假设一个服务器,接受用户输入,并将其包含在通过HTTP公开的内部服务请求中,像这样: GET /private-api?q=<user-input-here> HTTP/1.1 Authorization: server-secret-key 如果服务器未正确验证用户输入,则攻击者可能会直接注入协议控制字符到请求里。假设在这种情况下服务器接受了以下用户输入: "x HTTP/1.1\r\n\r\nDELETE /p
node漏洞 【持续更新】
weixin_51458899的博客
02-24 1655
node漏洞 持续更新
PHP常用日期加减计算方法实例小结
12-20
echo "一周零两天四小时两秒后:", date("Y-m-d G:i:s", strtotime("+1 week 2 days 4 hours 2 seconds")), "\n"; ``` 这些例子展示了如何添加或减去周、天、小时和秒。 此外,还可以基于特定的日期进行加减: ```...
javase 第一周week1小结.md
08-13
javase 第一周week1小结.md
HTML5表单验证特性(知识点小结)
11-21
前台提交信息到后台一般两种常见提交...date(date, month, week, time, datetime, datetime-local) search color tel 去掉chrome记住密码后自动填充表单的黄色背景: autocomplete="off" 可以加在input或者form上 下
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
一道题学习node.js中的CRLF注入
m0_62422842的博客
11-11 1795
这几天刷题遇到在node.js题目中注入CRLF实现ssrf的题目,对于我来说知识听新颖。在此记录一下。
[GKCTF 2021]easynode
qq_61209261的博客
07-14 702
node原型链污染和WAF绕过 反弹shell
BUUCTF-刷题记录-10
qq_45628145的博客
10-07 1308
MISC [watevrCTF 2019]Unspaellablle 词频分析,没有什么结果,然后看文件前面很有规律的样子,看起来像个什么文章?直接谷歌搜索到一个差不多的,不过有一点区别,链接。 然后去linux下面使用vimdiff命令查看两个文件的差别,发现把差别字符提取出来也就是flag了。 vimdiff 1.txt 2.txt 也就是watevr{icantspeel_tiny.cc/2qtdez}。 [INSHack2018]Spreadshit 搜索空格,全部选中,发现flag:INSA{
GYCTF2020_Writeup
Lethe's Blog
03-15 2559
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
[GYCTF 2020] Web复现 wp
Alexhirchi的博客
07-30 1596
FlaskApp 要点:模板注入、Pin码 访问网站,提示了该网站由Flask框架搭建,进行简单测试,提供了base64加密和解密的功能,并开启了flask的dubug功能(输入错误的base64解码会出现报错界面) 猜测存在模板注入,构造payload:{{2+6}} base64加密,将结果进行解码,验证存在模板注入 构造payload获取python文件内容(通过之前的报错可以知道python文件名),循环查找catch_warnings,打开app.py读取内容 {% for c in []
GYCTF 2020-BFnote题目分析
Eagle_hwei的博客
03-14 859
BFnote的题目分析 2020-03-1408:28:02 by hawkJW 题目附件、ida文件及wp链接   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。 下面我们来粗...
sqlAND WEEK
最新发布
08-13
对于您的问题,可以使用 SQL 中的 `WEEK()` 函数来获得日期所在的周数。`WEEK()` 函数的具体用法和语法可能会根据不同的数据库而有所不同。以下是一个通用的示例: ```sql SELECT WEEK(date_column) AS week_number...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值