BugKu-WEB-sodirty

已于 2024-07-02 14:47:55 修改
阅读量805 收藏 12
点赞数 21
CC 4.0 BY-SA版权
分类专栏: CTF 文章标签: 前端 网络安全 web安全 计算机网络 安全
于 2024-07-02 14:20:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52061428/article/details/140125401

目录

前言

正文

信息收集

代码审计

 验证

结尾

前言

七月始,暑假副本也正式开启

正文

信息收集

看着貌似没啥意义

看样子是有备份文件

下载下来

快速审计一下

代码审计

来吧

app.js没啥东西,主要是功能是实现error

我们找一找有没有index.js

找到了

\www\routes\index.js

var express = require('express');
const setFn = require('set-value');
var router = express.Router();


const Admin = {
    "password":process.env.password?process.env.password:"password"
}


router.post("/getflag", function (req, res, next) {
    if (req.body.password === undefined || req.body.password === req.session.challenger.password){
        res.send("登录失败");
    }else{
        if(req.session.challenger.age > 79){
            res.send("糟老头子坏滴很");
        }
        let key = req.body.key.toString();
        let password = req.body.password.toString();
        if(Admin[key] === password){
            res.send(process.env.flag ? process.env.flag : "flag{test}");
        }else {
            res.send("密码错误,请使用管理员用户名登录.");
        }
    }

});
router.get('/reg', function (req, res, next) {
    req.session.challenger = {
        "username": "user",
        "password": "pass",
        "age": 80
    }
    res.send("用户创建成功!");
});

router.get('/', function (req, res, next) {
    res.redirect('index');
});
router.get('/index', function (req, res, next) {
    res.send('<title>BUGKU-登录</title><h1>前端被炒了<br><br><br><a href="./reg">注册</a>');
});
router.post("/update", function (req, res, next) {
    if(req.session.challenger === undefined){
        res.redirect('/reg');
    }else{
        if (req.body.attrkey === undefined || req.body.attrval === undefined) {
            res.send("传参有误");
        }else {
            let key = req.body.attrkey.toString();
            let value = req.body.attrval.toString();
            setFn(req.session.challenger, key, value);
            res.send("修改成功");
        }
    }
});

module.exports = router;

看到了没扫到的接口

同时也发现setFn极有可能存在原型链污染

const setFn = require('set-value');
setFn(req.session.challenger, key, value);

由于名字叫做sodirty,所以更加坚定了这个想法

我们来讲一讲什么原型链污染

原型链污染是一种在JavaScript中可能存在的安全漏洞,它允许攻击者修改对象的原型属性,从而影响到其他依赖这些属性的对象。这种攻击通常发生在Web应用程序中,当开发者没有正确地验证或清理用户提交的数据,并且这些数据被用作构造函数或对象方法的参数时,就可能发生原型链污染

这里setFn作为指针动态调用set-value,且key 的值完全由用户控制(通过 req.body.attrkey)

如果我们尝试构造"__proto__[password]""constructor.prototype.password",那么他们可以尝试修改对象原型,从而改变其继承的属性

具体来说,当 key 是一个指向原型属性的路径时,set-value 库可能会尝试在原型链上设置这个属性,这就会导致原型链污染

这边Admin 对象的 password 字段被用于比较,如果攻击者能够通过原型链污染将原型中的 password 属性设置为与 Admin 相同的值,那么他们就可以绕过身份验证,从而获取到 flag

当然这目前只是猜想

除此之外

        if(req.session.challenger.age > 79){
            res.send("糟老头子坏滴很");
        }
router.get('/reg', function (req, res, next) {
    req.session.challenger = {
        "username": "user",
        "password": "pass",
        "age": 80
    }
    res.send("用户创建成功!");
});

/reg默认创建age:80

所以我们需要通过

router.post("/update", function (req, res, next) {
    if(req.session.challenger === undefined){
        res.redirect('/reg');
    }else{
        if (req.body.attrkey === undefined || req.body.attrval === undefined) {
            res.send("传参有误");
        }else {
            let key = req.body.attrkey.toString();
            let value = req.body.attrval.toString();
            setFn(req.session.challenger, key, value);
            res.send("修改成功");
        }
    }

 进行修改

 验证

首先注册

然后就是

我也不知道为什么使用bp进行传参时会失败.......所以使用hackbar进行测试

接下来就是修改admin的password

然后就可以直接获取flag

还有就是为什么ip不一样了,因为前面的环境崩了

 

成功

结尾

学习学习学习!!!!

求赞求关注

感谢

作者的其他文章

攻防世界-WEB-WEIPHP(记一次有趣的代码审计)-CSDN博客

攻防世界-WEB-catcat-new-CSDN博客

攻防世界-WEB-filemanager-CSDN博客

BugKu-new_php_bugku newphp-CSDN博客

bugku-web-GET解析过程
weixin_46168073的博客
11-14 1285
一、启动场景 二、解题过程 点进去得到 可以看到这是一个if语句,判断条件为what=='flag'就会显示出echo 下的'flag",那我们直接在地址后面,写上?what=flag。 然后就得到了flag,直接复制粘贴到记事本,然后在复制粘贴到提交框。 点击提交。 ...
bugku-web-POST解析过程
weixin_46168073的博客
11-14 1742
一、启动场景 首先,老规矩,我们启动场景。 二、解题过程 这里看到和之前GET提交一样的东西,我们直接在后面输入和get一样的东西?what=flag,发现没用。 可见POST提交和GET提交的不一样。 然后我们下载hackbar工具。 这里我用的火狐。可以在github上下,也可以直接导包。2.1.3之前的免费,之后的收费。 这里百度网盘给个链接。 链接:https://pan.baidu.com/s/1FaVcS-zCaQEXs-FJM0BLCw 提取码:1234 ...
bugku sodirty
plant1234的博客
03-28 3598
sodirty 这是一道简单的js原型污染的题目 了解JavaScript JavaScript一切皆对象,所有先了解JS对象 var obj ={} 创建obj这个对象,并没有赋予他任何属性或者方法,但是他会具有一些内置属性和方法,像__proto__,constructor,toString等. 但obj对象会继承__proto__的原型连接,拥有对象的方法 同时js对象的继承也是依赖__proto__所以不注意就会子类会和父类 共享一个属性地址。 这样修可以通过__proto__修改子类属性就会修
Bugku WEB sodirty
qq_41696858的博客
07-10 1200
其实还是源码分析 dirsearch扫路径,发现有www备份,下载下来肯定是源码分析 文件有点多 more ./*|grep flag一个一个文件夹找,在router目录下找到index.js找到flag相关代码,后来查阅资料发现node.js里面router是根据路由去分模块 就相当java里的spring mvc直接跟用户交互用来寻找功能函数的框架 查看源码: var express = require('express'); const setFn = require('set-value'); va
二十九、bugku sodirty
山兔的博客
09-05 562
发现只有一个注册的跳转链接,点击试试。 查看一下源代码,也没有发现什么。 御剑一下看看有没有备份文件,找到了www.zip的备份文件,下载下来看看。 直接搜索index.js得到源代码,发现set-value,判断存在js原型链污染 var express = require('express'); const setFn = require('set-value'); //set-value,判断存在js原型链污染 var router = express.Router(); c
bugku sodirty ——web安全ctf题目解析
weixin_54361902的博客
04-08 361
通过代码发现获取flag需要注意“/getflag”的验证,要先传两个参数:key、password,并且对用户字典中的age进行判断,如果大于79则会判断为失败。然后Admin[key]需要等于password,其中passwod是我们可以操控的 而Admin[key] 我们不知道。然后在seay审计系统打开index.js查看源代码(这里用idea也行随便用哪个打开来看就行了-_-)因为age是一个已经存在的变量,所以可以用post传参去覆盖。发现set-value,判断存在js原型链污染。
Javascript Prototype污染攻击(原型链污染,Bugku-web-sodirty wp)
bin789456的博客
08-06 1397
prototype 它表示原型,样本,标准。 在javascript中,你使用构造函数时会创建一些属性和方法。 在构造方法时,你书写了函数的内容,那么,当你每创建一次对象时就会执行一次函数内容并将方法绑定在新的对象上。 如果你希望早创建类时仅创建一次该方法,同时绑定在“类”上,也就是任何实例化对象都可以直接访问该方法,当然你通过类也可以,并且只有一份。你就需要使用prototype 类名.prototype.方法名 = function 方法名() {函数内容} 这样就能够仅创建一份了。 虽然任何实例化对
Bugku-Web-cookie欺骗.docx
05-16
Bugku-Web-cookie欺骗 Bugku-Web-cookie欺骗是指通过构造Cookie欺骗服务器,获取敏感信息或控制服务器行为的一种攻击方式。本文将详细介绍Bugku-Web-cookie欺骗的原理、攻击过程和防御方法。 原理 在Web应用程序...
[Bugku-AWD专版]一款用于AWD比赛中的自动化攻击框架.zip
09-30
Bugku-AWD专版】是一款专为AWD(Attack With Defense)比赛设计的自动化攻击框架,它旨在帮助参赛者更高效地进行攻防对抗。这个框架的核心目标是简化比赛过程中对目标系统的攻击策略和自动化执行,使得参赛者能够...
BugKu-web---程序员本地网站
MIGENGKING的博客
04-13 904
打开链接: 题目提示“本地访问!”,和“localhost”’ 因此用burpsuite抓包加上加上:X-Forwarded-For: 127.0.0.1 首先: X-Forwarded-For: 简称XFF头,它代表客户端,也就是HTTP的请求端真实的IP,只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。 接着: 127.0.0.1是回送地址,指本地...
渗透攻击漏洞——原型链污染
qq_44640313的博客
10-24 1856
简单认识原型链污染
Bugku解题 web 【四】
weixin_46703850的博客
04-04 1735
Bugku解题 web28.web1929.聪明的php 介绍:记录解题过程
2021-BUGKU-做题记录-WEB
weixin_38131137的博客
07-04 1926
1、Simple_SSTI_1 进行判断 {{2*'7'}}=77 那么就是jinjia2的注入模板 先进行第一步尝试 {{[].__class__.__base__.__subclasses__()}} 查找 判断其位于177为 但是往下走不通了,需要另辟道路 想了半天,就直接config吧 好吧,直接出来了 ps:自己想复杂了 2、Simple_SSTI_2 一样,{{[].__class__.__base__.__subclasses__()[177].__init__.func_globa
BugKuCTF 杂项 闪的好快
无限迭代中......
09-16 640
https://ctf.bugku.com/files/6dcac03199e58749725cbcd9cc958a9b/masterGO.gif 题解: 工具: GifSplitter Photoshop StegSolve 下载 GifSplitter分离GIF文件 没法扫 PS打开GIF也一样 某网站分离https://tu.sioe.cn/gj...
Bugku--web新版
qq_46874275的博客
04-10 2063
~目录~web4web5web6web7web8 web4 $what=$_POST['what']; //接受post过来的参数what,存到what里 echo $what;//打印 if($what=='flag')//如果值是flag echo 'flag{****}';//打印flag hackbar在post data里写what=flag 或者bp抓包,右键change request method,在最下方写what=flag web5 $num=$_GET['num'];//获取参数n
Bugku解题 web (一)
热门推荐
weixin_46703850的博客
03-22 1万+
Bugku解题 web (一)
Bugku——弱类型整数大小比较绕过
王嘟嘟的博客
10-31 2343
0x00 前言 今日份CTF送上。 2018年10月31日 题目 0x01 Start $temp = $_GET['password']; is_numeric($temp)?die("no numeric"):NULL; if($temp&gt;1336){ echo $flag; 这个就是源码。 简单的分析一下 is_numeric 其实这里就是先判断是不是数字。 然后再判断这个数字是...
CTF平台题库writeup(三)--BugKuCTF-杂项(1-20题详解)
渗透、攻防、CTF、编程
06-29 8994
1、签到题 扫描二维码直接获取flag 2、这是一张单纯的图片 http://120.24.86.145:8002/misc/1.jpg (1).启蒙级隐写术 linux下保存到本地当作文本文件cat一下(或记事本、winhex等打开)   cat 1.jpg (2).在末尾发现&#107;&#101;&#121;&#123;&#121;&#111;&#117;&#32;&#97;&#11...
CTFWeb——Bugku秋名山老司机 详细题解
日熙的博客
08-19 3820
1
bugku web Simple_SSTI_2
最新发布
03-27
<think>嗯,用户需要关于Bugku平台上Web题目Simple_SSTI_2的解决方案或详细信息。首先,我得回忆一下SSTI(服务器端模板注入)的基本概念。SSTI通常发生在使用模板引擎渲染用户输入时,如果未正确过滤输入,攻击者可以注入恶意代码。常见的模板引擎有Jinja2(Python)、Twig(PHP)、FreeMarker(Java)等。 题目是Simple_SSTI_2,可能比第一题稍难。可能需要绕过一些过滤器或黑名单。比如,某些关键字如"class"、"subclasses"可能被过滤,或者某些特殊字符被转义。用户可能需要找到替代的方法来访问对象的方法或属性。 首先,确定使用的模板引擎类型。例如,Bugku的题目可能基于Python的Flask框架,使用Jinja2模板。在Jinja2中,常用的Payload比如{{config}}或者通过对象继承链来执行命令。比如,通过访问''.__class__.__mro__[1].__subclasses__()来获取子类,寻找可利用的类如subprocess.Popen。 但是题目可能有过滤,比如过滤了下划线或某些关键字。这时候需要绕过,比如使用request.args或request.values来传递参数,或者使用字符串拼接、十六进制编码等方式。例如,将__class__拆分为'_'+'_class'+'_'+'_',或者使用其他属性访问方式如attr()方法。 另外,可能需要绕过对特定函数的限制,比如os模块被禁用,可以考虑使用其他模块如subprocess来执行命令。或者利用内置函数如__import__来动态导入模块。 假设题目中存在黑名单过滤了"class"、"subclasses"等关键字,那么可能需要寻找替代方法。例如,使用原生Python的魔术方法或属性,或者使用过滤器如|attr()来拼接字符串。例如,{{''|attr('__class__')}}来获取类对象。 另外,如果题目中存在对某些字符的过滤,比如双下划线被过滤,可以使用request对象中的参数来传递。例如,构造Payload为{{''[request.args.a][request.args.b][request.args.c]()}},然后通过URL参数传递a=__class__,b=__base__等。 还需要考虑如何执行系统命令。例如,找到subprocess.Popen类,然后调用它执行命令。可能需要遍历子类来找到可用的类。例如,在Jinja2中,可以通过{{''.__class__.__mro__[1].__subclasses__()}}来获取所有子类,然后找到索引对应的Popen类。 如果题目中有沙箱环境,可能需要更复杂的绕过方式,比如利用Python的内省机制或全局变量。例如,使用__globals__或__builtins__来访问需要的函数。 总结步骤可能为:确定模板引擎类型→探测过滤规则→构造Payload绕过过滤→访问对象继承链→找到可利用的类→执行命令获取flag。 可能需要参考类似题目的解法,比如通过{{config}}查看配置信息,或者通过{{''.__class__.__base__.__subclasses__()[X].__init__.__globals__}}来访问模块的全局变量,进而导入os模块执行命令。 最后,验证Payload的有效性,并确保在题目环境中正确执行。可能需要多次尝试不同的索引或方法,直到找到正确的子类索引。</think>### Bugku Web题目 Simple_SSTI_2 解决方案 #### 1. 漏洞背景 Simple_SSTI_2考察**服务器端模板注入(SSTI)**漏洞,常见于未严格过滤用户输入的模板引擎(如Jinja2)。攻击者通过注入恶意代码可执行任意命令或读取敏感数据[^1]。 #### 2. 基本分析步骤 1. **确定模板引擎类型** 输入`{{7*7}}`,若返回`49`则为Jinja2/Twig类引擎;若返回`7777777`则可能为其他引擎(如Mako)。 2. **探测过滤规则** 尝试基础Payload如`{{''.__class__}}`,若返回错误或空白,说明可能过滤了关键字(如`_`、`class`)。 例如题目可能过滤下划线,需改用其他方式(如`request.args`传参或字符串拼接)。 #### 3. 绕过过滤的Payload示例 假设题目过滤了`_`和`class`,可通过以下方式绕过: ```python {{ ''|attr(request.args.a) }}&a=__class__ ``` 或使用十六进制编码: ```python {{ ""|attr("\x5f\x5f\x63\x6c\x61\x73\x73\x5f\x5f") }} ``` #### 4. 利用对象继承链执行命令 1. **获取基类** ```python {{ ''.__class__.__mro__[1] }} # 输出:<class 'object'> ``` 2. **遍历子类寻找可利用类** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400] }} # 假设索引400为subprocess.Popen ``` 3. **执行系统命令** ```python {{ ''.__class__.__mro__[1].__subclasses__()[400]('ls', shell=True, stdout=-1).communicate() }} ``` #### 5. 获取Flag的典型Payload 若题目限制严格,可通过`__globals__`访问内置模块: ```python {{ config.__class__.__init__.__globals__['os'].popen('cat /flag').read() }} ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值