本文详细介绍了如何解决GYCTF2020中的Ez_Express挑战。通过分析JavaScript原型链与原型链污染,特别是Undefsafe模块的CVE-2019-10795,解题者发现关键在于利用merge和clone函数导致的原型链污染。通过审计代码,解题者发现需要在/login路由中利用特殊字符(如'ı', 'ſ')绕过大小写检查,然后在/info路由中利用污染的原型链获取flag。总结中强调了原型链污染的审计技巧以及在Node.js环境中寻找RCE的方法。"
8983290,1449353,C语言中的指针与数组名解析,"['C', '指针', '基本概念']
目录
考点:
JavaScript 原型链与原型链污染
Undefsafe 模块原型链污染(CVE-2019-10795)
大体思路:
js审计如果看见merge,clone函数,可以往原型链污染靠,跟进找一下关键的函数,找污染点
切记一定要让其__proto__解析为一个键名
前言:
静下心来,慢慢思考。
解题:
扫描目录可得www.zip,进行代码审计 routes 下的 index.js文件:
var express = require('express');
var router = express.Router();
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => { //用了危险函数 merge
for (var attr in b) {
if (isObject(a[attr]) && isObject(b[attr])) {
merge(a[attr], b[attr]);
} else {
a[attr] = b[attr];
}
}
return a
}
const clone = (a) => {
return merge({}, a);
}
function safeKeyword(keyword) {
if(keyword.match(/(admin)/is)) {
return keyword
}
return undefined
}
//路由
router.get('/', function (req, res) {
if(!req.session.user){ //没登录 返回到login
res.redirect('/login');
}
res.outputFunctionName=undefined; //outputFunctionName=undefined
res.render('index',data={'user':req.session.user.user}); //渲染
});
router.get('/login', function (req, res) {
res.render('login');
});
router
最低0.47元/天 解锁文章
扫一扫
609
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
