文章目录
前言
nodejs从入门到挖坟,今天早上刚刚学了一点,成功了,比较开心,入门了新的领域
web334
下载源码下来在user.js里面发现了用户名和密码,群主比较坑哈,搞了个大写,明明是小写,ctfshow与密码我忘了压缩包懒得下
web335
方法一
一道Node.JS的RCE
![[CTFSHOW][WEB入门]nodejs部分WP_node.js](https://s2.51cto.com/images/blog/202210/26153534_6358e346233803252.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
之后cat fl00g.txt即可
![[CTFSHOW][WEB入门]nodejs部分WP_json_02](https://s2.51cto.com/images/blog/202210/26153534_6358e3464a89261712.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
方法二
方法太多了随便写一个吧
global.process.mainModule.constructor._load('child_process').exec('calc')
web336
方法一
先用上一题paylaod
![[CTFSHOW][WEB入门]nodejs部分WP_原型链_03](https://s2.51cto.com/images/blog/202210/26153534_6358e3467b73885501.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
尝试绕过姿势,也不行
![[CTFSHOW][WEB入门]nodejs部分WP_原型链_04](https://s2.51cto.com/images/blog/202210/26153534_6358e346b10cb35615.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
那么试一下读取下文件呢,看看过滤了啥,通过全局变量读取当前目录位置
![[CTFSHOW][WEB入门]nodejs部分WP_json_05](https://s2.51cto.com/images/blog/202210/26153534_6358e346d837752631.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
很明显过滤了这两个
![[CTFSHOW][WEB入门]nodejs部分WP_node.js_06](https://s2.51cto.com/images/blog/202210/26153535_6358e3470af9e81158.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
尝试本地绕过本地打通
![[CTFSHOW][WEB入门]nodejs部分WP_node.js_07](https://s2.51cto.com/images/blog/202210/26153535_6358e3472c4d172128.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
把加号url编码(浏览器解析特性+会成为空格好像)
![[CTFSHOW][WEB入门]nodejs部分WP_原型链_08](https://s2.51cto.com/images/blog/202210/26153535_6358e34755a1f66881.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
出结果
![[CTFSHOW][WEB入门]nodejs部分WP_node.js_09](https://s2.51cto.com/images/blog/202210/26153535_6358e3478520544439.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
方法二
首先读取目录下文件,看到flag了
![[CTFSHOW][WEB入门]nodejs部分WP_json_10](https://s2.51cto.com/images/blog/202210/26153535_6358e347ae88530624.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
![[CTFSHOW][WEB入门]nodejs部分WP_node.js_11](https://s2.51cto.com/images/blog/202210/26153535_6358e347e355457849.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
方法三
![[CTFSHOW][WEB入门]nodejs部分WP_json_12](https://s2.51cto.com/images/blog/202210/26153536_6358e34815c9f97200.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
web337
数组绕过,很简单,不写过程了
web338
考点:nodejs原型污染
推荐大家看看这篇文章,不用看多一点点就好,很简单的,俺也是现学的相信自己继承与原型链 关键点是这里
主要是utils.copy(user,req.body);是利用点
![[CTFSHOW][WEB入门]nodejs部分WP_原型链_13](https://s2.51cto.com/images/blog/202210/26153536_6358e34836a4b33228.jpg?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_30,g_se,x_10,y_10,shadow_20,type_ZmFuZ3poZW5naGVpdGk=/resize,m_fixed,w_1184 "在这里插入图片描述")
此时,因为原型污染,secret对象直接继承了Object.prototype,所以就导致了secert.ctfshow==='36dboy'
