缓存投毒进阶 -- justctf 2025 Busy Traffic
题目核心逻辑如下
let browser; // 全局浏览器实例// 访问指定 URL 的异步函数
const visit = async (url) => {try {// 如果已有浏览器实例,先关闭并等待 2 秒if (browser) {await browser.close();await sleep(2000);console.log("Terminated ongoing job.");}// 启动 puppeteer,使用 chrome,无头模式browser = await puppeteer.launch({browser: 'chrome',headless: true,args: ["--disable-features=HttpsFirstBalancedModeAutoEnable","--no-sandbox"]});// 创建新的浏览器上下文const ctx = await browser.createBrowserContext();// 新建页面,访问 flag 页面并设置 localStoragepage = await ctx.newPage();await page.goto(`http://traefik/flag`, { timeout: 3000, waitUntil: 'domcontentloaded' });await page.evaluate((flag) => {localStorage.setItem('flag', flag); // 将 flag 存入 localStorage}, FLAG);await sleep(500); // 等待 0.5 秒await page.close(); // 关闭页面// 新建页面,访问用户提交的 URLpage = await ctx.newPage();await page.goto(url, { timeout: 3000, waitUntil: 'domcontentloaded' });await sleep(1000 * 60 * 2); // 停留 2 分钟await browser.close(); // 关闭浏览器browser = null;} catch (err) {// 捕获并打印异常console.log(err);} finally {// 最终关闭浏览器并打印日志console.log('close');if (browser) await browser.close();}
};
http:routers:bot:rule: 'PathPrefix(`/bot`)'service: botdashboard:rule: "PathPrefix(`/dashboard`) || PathPrefix(`/api`)"service: api@internalservices:bot:loadBalancer:servers:- url: "http://bot:3000"middlewares:cache-on-steroids:plugin:plugin-simplecache:path: /tmp/CacheQueryParams: Truemaxage:headers:customResponseHeaders:Cache-Control: "max-age=20"coop:headers:customResponseHeaders:Cross-Origin-Opener-Policy: "same-origin"log:level: INFOaccessLog: {}entryPoints:web:address: ":80"http:middlewares:- maxage- coop- cache-on-steroidsproviders:file:filename: /config/dynamic.ymlapi:dashboard: trueexperimental:plugins:plugin-simplecache:moduleName: "github.com/scrazy77/plugin-simplecache-nocache"version: "v0.0.5"
服务器使用了此插件,插件存在默认不安全行为,忽略查询参数作为缓存判断的关键
// Config 配置中间件的结构体。
type Config struct {Path string `json:"path" yaml:"path" toml:"path"` // 缓存文件存储路径MaxExpiry int `json:"maxExpiry" yaml:"maxExpiry" toml:"maxExpiry"` // 缓存最大过期时间(秒)Cleanup int `json:"cleanup" yaml:"cleanup" toml:"cleanup"` // 清理周期(秒)AddStatusHeader bool `json:"addStatusHeader" yaml:"addStatusHeader" toml:"addStatusHeader"` // 是否添加缓存状态头CacheQueryParams bool `json:"cacheQueryParams" yaml:"cacheQueryParams" toml:"cacheQueryParams"` // 是否缓存查询参数ForceNoCacheHeader bool `json:"forceNoCacheHeader" yaml:"forceNoCacheHeader" toml:"forceNoCacheHeader"` // 是否强制添加 no-cache 头BlacklistedHeaders []string `json:"blacklistedHeaders" yaml:"blacklistedHeaders" toml:"blacklistedHeaders"` // 黑名单头部,命中则不缓存
}// CreateConfig 返回一个默认配置实例。
func CreateConfig() *Config {return &Config{MaxExpiry: int((5 * time.Minute).Seconds()), // 默认最大过期时间5分钟Cleanup: int((5 * time.Minute).Seconds()), // 默认清理周期5分钟AddStatusHeader: true, // 默认添加缓存状态头CacheQueryParams: false, // 默认不缓存查询参数ForceNoCacheHeader: false, // 默认不强制 no-cacheBlacklistedHeaders: []string{}, // 默认无黑名单头部}
}
可以通过使用
Host: traefik标头发送请求来在http://traefik上执行缓存中毒。如果服务器后端没有正确处理host头,缓存中毒有可能使得攻击者凭空捏造出内部内部可访问的url(http://fake/)
可以通过使用
Host: traefik标头发送请求来在http://traefik上执行缓存中毒。
缓存键仅由 HTTP 方法、主机名和路径组成,默认情况下甚至不包括查询参数缓存键完全忽略了 Range 请求头,这意味着具有不同/没有 Range 的请求会命中相同的缓存条目
// cacheKey 生成缓存键。
func (m *cache) cacheKey(r *http.Request) string {if m.cfg.CacheQueryParams {return r.Method + r.Host + r.URL.Path + r.URL.RawQuery // 包含查询参数}return r.Method + r.Host + r.URL.Path // 不包含查询参数
}
我们只需想办法配合题目不缓存参数的错误从服务器上凑齐如下“ROP”的方法即可
<iframe src="URL" name="XSS_payload">
| Gadget 代码 | 作用 |
|---|---|
e=this | 拿到全局对象 |
t=e.name | 读取 window.name |
i=t | 复制变量 |
s=2 | 设置延时 |
setTimeout(i,t,s) | 执行 XSS |
我们还可以利用这一点使得不同的路径返回同一文件的不同部分
http://a/b/c.txt?/../d.txt -> http://a/d.txt
配合题目不缓存参数的错误,想办法凑出即可
Default-qPSf0Yui.js/..%2f..%2f/#/udp/a加载index-BH-fqmTU.js和api-DHmvWmr7.js,而#/udp/routers加载更多模块。
完整利用脚本
繁忙的交通 |justCTF 2025 — Busy Traffic | justCTF 2025