[GYCTF2020]Ez_Express

知识点：toUpperCase()特殊字符替代，原型链污染，由原型链污染触发ssti直接rce（res.render）

相关知识详解参考

toUpperCase()特殊字符替代:
https://www.leavesongs.com/HTML/javascript-up-low-ercase-tip.html

原型链污染：
https://blog.csdn.net/qq_51586883/article/details/119867720
https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html

由原型链污染触发ssti直接rce（res.render）
https://www.cnblogs.com/20175211lyz/p/12659738.html

分析

网站有备份（www.zip），审计，在routes/index.js中看到这两个函数说明可能会是原型链污染。

先不管这么利用先看下网站提示，告诉我们要以ADMIN注册登录，但是审计代码发现不能以admin来注册。

接着往下看，它会对我们的用户名用toUpperCase来进行大小写转换，也产生了洞，因为toUpperCase函数会把某些特殊的字符解析为相应的字母，例如"ı".toUpperCase() == 'I'，"ſ".toUpperCase() == 'S'，所以我们可以令用户名为ADMıN，在注册登录就可以了。

最后我们会看到这个页面，继续往下审计。

在action路由中有clone函数，说明我们可以原型链污染，污染后干啥？接着往下看。

在info 路由中有个render和res.outputFunctionName，前者作用是把相关的HTML字符串发到客户端，后者我们可以通过它来进行ssti，rce返回flag值，而想达到这个目的我们必须要进行原型链污染。


且在app.js的代码中，看出我们可以提交json格式的代码。
（express框架如果use(bodyParser.json())或者use(express.json())，支持通过content-type接收JSON输入，我们改为application/json直接输入json数据。—来自此处）

payload：

把Content-Type: application/json

{"__proto__":{"outputFunctionName":"a;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"}}

原理详解处

最后访问/info，打开下载的文件就可以了。

参考

https://www.cnblogs.com/20175211lyz/p/12659738.html
https://blog.csdn.net/cjdgg/article/details/119769076?ops_request_misc=&request_id=&biz_id=102&utm_term=%5BGYCTF2020%5DEz_Express&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-5-119769076.142^v47^pc_rank_34_1,201^v3^add_ask&spm=1018.2226.3001.4187