寒假training-2

寒假week2

simplewaf

flag在/app/flag.txt里

express 使用 qs npm 模块来提供 req.query.file (file 为查询字符串参数名) ，这意味着它可以与字符串以外的其他类型一起使用。

?file[1]=a

path 仅限于 字符串、URL实例、Buffer实例，因为WAF过滤字符串flag不再考虑，重点放在两个实例上

通过上边的测试，可以通过URL绕过flag过滤

问题在于它是如何判断是否是URL实例

源码调试分析

// 导入 express fs 模块 
const express = require("express");
const fs = require("fs");

// 创建express应用
const app = express();

const PORT = process.env.PORT || 3456;

// 过滤字符串 flag
app.use((req, res, next) => {
    if([req.body, req.headers, req.query].some(
        (item) => item && JSON.stringify(item).includes("flag")
    )) {
        return res.send("bad hacker!");
    }
    next();     // 控制权传递给下一个处理器
});

app.get("/", (req, res) => {
    try {
        res.setHeader("Content-Type", "text/html");
        res.send(fs.readFileSync(req.query.file || "index.html").toString());  
        //  get 传入 file 值
        // fs.readFileSync 读取文件并返回内容
    }
    catch(err) {
        console.log(err);
        res.status(500).send("Internal server error");
    }
});

app.listen(PORT, () => console.log(`web/simplewaf listening on port ${PORT}`));

下第一个断点

进入 readFileSync

重点关注 path

下一个断点下在 445 行，进入 openSync 函数

再进入 syncFs.open

path = getValidatedPath(path);	// 处理path

看看如何处理的

功能如其名，判断是否是URL toPathIfFileURL，是 URL 返回 fileURLToPath

toPathIfFileURL：

isURL：

得到条件。

之后看一下URL路径的处理

fileURLToPath：

path.protocol == 'file:'

Linux 返回 getPathFromURLPosix

url.hostname == ''
url.pathname 无 %2f 

return decodeURIComponent(pathname);// 返回 pathname 的解码

条件汇总

.href 存在
.protocol 存在 == 'file:'
.auth == undefined
.path == undefined
.hostname === ' '
.pathname 不能包含URL编码后的 / 
	=> /app/flag.txt
绕过Waf  把flag中的某个字母两次编码（express + decodeURIComponent）

?file[href]=1&file[protocol]=file:&file[hostname]=&file[pathname]=/app/fl%2561g.txt

---

[网鼎杯 2020 青龙组]notes

原型链污染 + 反弹shell

源码

var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })


app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});


app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});


const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

• undefsafe 原型链污染

  当函数的后两个参数可控时，可以通过原型链污染上层对象的值

  commands 和 note_list 继承自同一个原型，通过 edit_note 路由污染原型

• /status 路由中的 for (let index in commands) 不只是遍历 command 表，还会回溯遍历原型链上的属性 ，从而可以利用 undefsafe 原型链污染反弹shell

反弹 shell 搞了好久。。

最终妥协开了个云服务器，闪开闪关，只要速度够快就能白嫖耶耶

提前监听

flag{fc5dd85d-2c16-4e8f-99cd-d555f32e3cbb}