源码:

const bodyParser = require("body-parser")

const express = require("express")

const fs = require("fs")

const customhash = require("./customhash")

const app = express()

app.use(bodyParser.json())

const port = 3000

const flag = "flag"

const secret_key = "Y0ure_g01nG_t0_h4v3_t0_go_1nto_h4rdc0r3_h4ck1ng_m0d3"

app.get('/', (req, res) => {

    console.log("[-] Source view")

    res.type("text")

    return fs.readFile("index.js", (err,data) => res.send(data.toString().replace(flag, "flag")))

})

app.post('/getflag', (req, res) => {

    console.log("[-] Getflag post")

    if (!req.body) {return res.send("400")}

    let one = req.body.one

    let two = req.body.two

    console.log(req.body)

    if (!one || !two) {

        return res.send("400")

    }

    if ((one.length !== two.length) || (one === two)) {

        return res.send("Strings are either too different or not different enough")

    }

    one = customhash.hash(secret_key + one)

    two = customhash.hash(secret_key + two)

    if (one == two) {

        console.log("[*] Flag get!")

        return res.send(flag)

    } else {

        return res.send(`${one} did not match ${two}!`)

    }

})

app.listen(port, () => console.log(`Listening on port ${port}`))

因为本人对nodejs一无所知。所以很多语法都是临时查的。整个源码浏览一遍之后,我们把重点放在以下几处处代码上

app.post('/getflag', (req, res) => {

    console.log("[-] Getflag post")

    if (!req.body) {return res.send("400")}

    let one = req.body.one

    let two = req.body.two

大致的意思是用post方式向/getfkag传两个参数,参数名为one和two,如果没有接收到参数则返回400。

const bodyParser = require("body-parser")
body-parser是Express的中间件。模块会处理application/x-www-form-urlencoded、application/json两种格式的请求体。
经过这个中间件后,就能在所有路由处理器的req.body中访问请求参数。
body-parser默认接受方式是application/x-www-form-urlencoded。
app.use(bodyParser.json())

app.use()用于定义路由规则。详情可移步https://blog.csdn.net/u014473112/article/details/51992771

很明显用的是json格式,这就是问题所在。

hackbar的传参是x-www-form-urlencoded格式。所以怎么传都是返回400。返回的400是第一个if的结果。因为没有收到正确的参数格式所以req.body为空

因此需要用bp改一下包,把Content-Type改为application/json,然后再以json格式传参

那么目前传参问题就解决了。接着就要分析参数内容了。





    if ((one.length !== two.length) || (one === two)) {

        return res.send("Strings are either too different or not different enough")

    }

    one = customhash.hash(secret_key + one)

    two = customhash.hash(secret_key + two)

    if (one == two) {

        console.log("[*] Flag get!")

        return res.send(flag)

    } else {

        return res.send(`${one} did not match ${two}!`)

    }

})

app.listen(port, () => console.log(`Listening on port ${port}`))






第一个if判断两个参数长度,要求长度相同且内容且值不同


之后分别在secret_key后加上两个参数,再进行hash加密,要求hash值相同


构造payload:{"one":[{"2":"32"}],"two":[{"1":"c"}]}(数组为空也行)


和php的弱类型差不多。one和two值都为数组类型。因为payload数组元素相等,相当于one[1]和two[1],所以长度相等。js在拼接的时候会转换参数类型,数组转换后解析为NaN,


因此hash值相等,提交后成功获得flag











												


											
RACTF-web C0llide?(js弱类型)的更多相关文章
	

    
								
  1. [原题复现]百度杯CTF比赛 十月场 WEB EXEC(PHP弱类型)
		
    简介  原题复现:  考察知识点:PHP弱类型.  线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露  下方都试了 ...
    
		
    2. 
						
  2. 在js中获取页面元素的属性值时,弱类型导致的诡异事件踩坑记录,
		
    前几天写一个js的时候遇到一个非常诡异的事情,这个问题是这样的,我要获取一个页面的DOM元素的val值,判断这个值是否比某个变量大,这个需求原先数字最大也就是10,现在要改了,可能会更多,这个时候我发 ...
    
		
    3. 
						
  3. 2016年11月3日JS脚本简介数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6.布尔型数据:bool 7.对象类型:object 8.二进制:binary 语言类型: 1.强类型语言:c++ c c# java 2.弱类型语
		
    数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6 ...
    
		
    4. 
						
  4. [JS2] JS是弱类型
		
    <html> <head> <title>JavaScript 是弱类型的</title> <Script Language="Java ...
    
		
    5. 
						
  5. PHP弱类型安全问题的写法和步骤
		
    鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理.本篇文章主要就是记录我在做攻防平台上面遇到的PHP的 ...
    
		
    6. 
						
  6. js部分---类型,变量;
		
    <script type="text/javascript">1.注释:用“//或者/**/”2.数据类型: (1)整型 int (2)小数类型 单精度float 双精 ...
    
		
    7. 
						
  7. 弱类型语言中的0和空字符串(''或"")以及字符串'0'
		
    在弱类型语言(js/PHP)中, 当我们用==判断0和'0'以及空字符串(''或"")是否相等的时候, 返回的是true. 而且在PHP中, 当我们用==判断0和null是否相等的 ...
    
		
    8. 
						
  8. 《You dont know JS》类型篇总结
		
    类型 javaScript中的类型和熟知的一些强类型语言的有关类型的定义是不一样的.在js中,类型的含义是值的内部特征,它定义了值得行为,以使其区别于其他值.(a type is an intrins ...
    
		
    9. 
						
  9. CTF中常见的 PHP 弱类型漏洞总结
		
    作者:ZERO    所属团队:Arctic Shell 参考资料: http://archimesan.me/2017/12/21/php%E5%BC%B1%E7%B1%BB%E5%9E%8B%E6 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Zookeeper分布式过程协同技术 - 概念及基础
			
    Zookeeper分布式过程协同技术 - 概念及基础 Zookeeper是什么? Zookeeper是一种分布式过程协同技术,其所提供的客户端API功能强大,其中包括: 保障强一致性.有序性和持久性. ...
    
			
    2. 
						
  2. 不就是语法和长难句吗—笔记总结Day4
			
    第六课 英语的特殊结构 1.强调句型 It is...that / who / which(少见)... * 强调句型可以强调句子中所有成分(唯一不能强调谓语)*  It is obviously t ...
    
			
    3. 
						
  3. sendRedirect()和forward()方法的区别
			
    sendRedirect()和forward()方法的区别 之前好像曾经整理过,但忘了放在哪里了,好像压根就没整理过,博客里也没有,故今天重新整理一下. 我们知道页面之间的跳转有两种方式:重定向与转发 ...
    
			
    4. 
						
  4. Python18行代码做出来这样有点浪漫,又有点极客的“内涵”图
			
    今天就来教大家这个套路: 如何使用 Python 来做出来这样有点浪漫,又有点极客的“内涵”图. 当然,能不能靠它得到心仪对象的青睐,就要靠你(命)了.(๑•́₃ •̀๑) 那么要怎么做呢? 我们先找 ...
    
			
    5. 
						
  5. Docker数据卷的介绍和使用
			
    最近在学习docker,这篇主要讲了数据卷的作用以及使用,我用的是mac系统去操作的 1.数据卷的简介 2.数据卷的配置 (1).查看你的镜像docker images (2)运行的命令 ~$ doc ...
    
			
    6. 
						
  6. Cypress系列(13)- 详细介绍 Cypress Test Runner
			
    如果想从头学起Cypress,可以看下面的系列文章哦 https://www.cnblogs.com/poloyy/category/1768839.html 前言 Test Runner 也叫运行器 ...
    
			
    7. 
						
  7. C#读取Excel转换为DataBle
			
    /// <summary> /// Excel->DataTable /// </summary> /// <param name="filePath&q ...
    
			
    8. 
						
  8. 上海python14期第一次周考
			
    上海python14期第一次周考 1 介绍 满分50分 考试范围: Python语法 数据类型 流程控制 考试时间: 周五下午3.00点-晚6:00 2 基础题(38分) 什么是编程语言?什么是语言? ...
    
			
    9. 
						
  9. python基础之打/解包及运算符与控制流程
			
    python基础之打/解包及运算符与控制流程 python中的解压缩(即序列类型的打包和解包) python提供了两个设计元祖和其他序列类型的处理的便利,也就是自动打包与自动解包功能,比如: data ...
    
			
    10. 
						
  10. java 基本语法(十四)Lambda (一)表达式
			
    1.Lambda表达式使用前后的对比:举例一: @Test public void test1(){ Runnable r1 = new Runnable() { @Override public v ...
    
			
    11.