目录
前言
正文
信息收集
代码审计
验证
结尾
前言
七月始,暑假副本也正式开启
正文
信息收集
看着貌似没啥意义
看样子是有备份文件
下载下来
快速审计一下
代码审计
来吧
app.js没啥东西,主要是功能是实现error
我们找一找有没有index.js
找到了
\www\routes\index.js
var express = require('express');
const setFn = require('set-value');
var router = express.Router();const Admin = {"password":process.env.password?process.env.password:"password"
}router.post("/getflag", function (req, res, next) {if (req.body.password === undefined || req.body.password === req.session.challenger.password){res.send("登录失败");}else{if(req.session.challenger.age > 79){res.send("糟老头子坏滴很");}let key = req.body.key.toString();let password = req.body.password.toString();if(Admin[key] === password){res.send(process.env.flag ? process.env.flag : "flag{test}");}else {res.send("密码错误,请使用管理员用户名登录.");}}});
router.get('/reg', function (req, res, next) {req.session.challenger = {"username": "user","password": "pass","age": 80}res.send("用户创建成功!");
});router.get('/', function (req, res, next) {res.redirect('index');
});
router.get('/index', function (req, res, next) {res.send('<title>BUGKU-登录</title><h1>前端被炒了<br><br><br><a href="./reg">注册</a>');
});
router.post("/update", function (req, res, next) {if(req.session.challenger === undefined){res.redirect('/reg');}else{if (req.body.attrkey === undefined || req.body.attrval === undefined) {res.send("传参有误");}else {let key = req.body.attrkey.toString();let value = req.body.attrval.toString();setFn(req.session.challenger, key, value);res.send("修改成功");}}
});module.exports = router;看到了没扫到的接口
同时也发现setFn极有可能存在原型链污染
const setFn = require('set-value');setFn(req.session.challenger, key, value);由于名字叫做sodirty,所以更加坚定了这个想法
我们来讲一讲什么原型链污染
原型链污染是一种在JavaScript中可能存在的安全漏洞,它允许攻击者修改对象的原型属性,从而影响到其他依赖这些属性的对象。这种攻击通常发生在Web应用程序中,当开发者没有正确地验证或清理用户提交的数据,并且这些数据被用作构造函数或对象方法的参数时,就可能发生原型链污染
这里setFn作为指针动态调用set-value,且key 的值完全由用户控制(通过 req.body.attrkey)
如果我们尝试构造"__proto__[password]" 或 "constructor.prototype.password",那么他们可以尝试修改对象原型,从而改变其继承的属性
具体来说,当 key 是一个指向原型属性的路径时,set-value 库可能会尝试在原型链上设置这个属性,这就会导致原型链污染
这边Admin 对象的 password 字段被用于比较,如果攻击者能够通过原型链污染将原型中的 password 属性设置为与 Admin 相同的值,那么他们就可以绕过身份验证,从而获取到 flag
当然这目前只是猜想
除此之外
if(req.session.challenger.age > 79){res.send("糟老头子坏滴很");}router.get('/reg', function (req, res, next) {req.session.challenger = {"username": "user","password": "pass","age": 80}res.send("用户创建成功!");
});/reg默认创建age:80
所以我们需要通过
router.post("/update", function (req, res, next) {if(req.session.challenger === undefined){res.redirect('/reg');}else{if (req.body.attrkey === undefined || req.body.attrval === undefined) {res.send("传参有误");}else {let key = req.body.attrkey.toString();let value = req.body.attrval.toString();setFn(req.session.challenger, key, value);res.send("修改成功");}}进行修改
验证
首先注册
然后就是
我也不知道为什么使用bp进行传参时会失败.......所以使用hackbar进行测试
接下来就是修改admin的password
然后就可以直接获取flag
还有就是为什么ip不一样了,因为前面的环境崩了
成功
结尾
学习学习学习!!!!
求赞求关注
感谢
作者的其他文章
攻防世界-WEB-WEIPHP(记一次有趣的代码审计)-CSDN博客
攻防世界-WEB-catcat-new-CSDN博客
攻防世界-WEB-filemanager-CSDN博客
BugKu-new_php_bugku newphp-CSDN博客
怎么办)
