[GYCTF2020]Ez_Express
作者:互联网
[GYCTF2020]Ez_Express
知识点:
javascript大小写特性
js原型链污染
解题:
打开界面一个登录框,需要以ADMIN登录,www.zip下载源码:
不允许以 admin ADMIN 注册,但是后面存在
直接使用 admın 特殊字符注册即可,
又因为存在 merge 操作,所以存在原型链污染,审计的时候发现在 / 路由时,存在
一个未定义的属性,然后再最后在 info 路由进行了渲染,寻找原型链
https://evi0s.com/2019/08/30/expresslodashejs-%e4%bb%8e%e5%8e%9f%e5%9e%8b%e9%93%be%e6%b1%a1%e6%9f%93%e5%88%b0rce/
所以我们只需要在 / 进行污染,然后在访问 info 路径即可得到回显
payload:
{"lua":"a","__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"},"Submit":""}
记得修改 content-Type ,最后访问 info 即可下载一个 flag 文件了
标签:info,__,9f%,e5%,Express,GYCTF2020,93%,原型,Ez 来源: https://blog.csdn.net/woshilnp/article/details/120263373