天翼杯

呜呜呜呜 是我太菜了

Web

APItest

源码

const express = require("express");

const cors = require("cors");

const app = express();

const uuidv4 = require("uuid/v4");

const md5 = require("md5");

const jwt = require("express-jwt");

const jsonwebtoken = require("jsonwebtoken");

const server = require("http").createServer(app);

const { flag, secret, jwtSecret } = require("./flag");

const config = {

  port: process.env.PORT || 8081,

  adminValue: 1000,

  message: "Can you get flag?",

  secret: secret,

  adminUsername: "kirakira_dokidoki",

  whitelist: ["/", "/login", "/init", "/source"],

};

let users = {

  0: {

    username: config.adminUsername,

    isAdmin: true,

    rights: Object.keys(config)

  }

};

app.use(express.json());

app.use(cors());

app.use(

  jwt({ secret: jwtSecret }).unless({

    path: config.whitelist

  })

);

app.use(function(error, req, res, next) {

  if (error.name === "UnauthorizedError") {

    res.json(err("Invalid token or not logged in."));

  }

});

function sign(o) {

  return jsonwebtoken.sign(o, jwtSecret);

}

function ok(data = {}) {

  return { status: "ok", data: data };

}

function err(msg = "Something went wrong.") {

  return { status: "error", message: msg };

}

function isValidUser(u) {

  return (

    u.username.length >= 6 &&

    u.username.toUpperCase() !== config.adminUsername.toUpperCase() && u.username.toUpperCase() !== config.adminUsername.toLowerCase()

  );

}

function isAdmin(u) {

  return (u.username.toUpperCase() === config.adminUsername.toUpperCase() && u.username.toUpperCase() === config.adminUsername.toLowerCase()) || u.isAdmin;

}

function checkRights(arr) {

  let blacklist = ["secret", "port"];

  if(blacklist.includes(arr)) {

    return false;

  }

  for (let i = 0; i < arr.length; i++) {

    const element = arr[i];

    if (blacklist.includes(element)) {

      return false;

    }

  }

  return true;

}

app.get("/", (req, res) => {

  res.json(ok({ hint:  "You can get source code from /source"}));

});

app.get("/source", (req, res) => {

    res.sendFile( __dirname + "/" + "app.js");

});

app.post("/login", (req, res) => {

  let u = {

    username: req.body.username,

    id: uuidv4(),

    value: Math.random() < 0.0000001 ? 100000000 : 100,

    isAdmin: false,

    rights: [

      "message",

      "adminUsername"

    ]

  };

  if (isValidUser(u)) {

    users[u.id] = u;

    res.send(ok({ token: sign({ id: u.id }) }));

  } else {

    res.json(err("Invalid creds"));

  }

});

app.post("/init", (req, res) => {

  let { secret } = req.body;

  let target = md5(config.secret.toString());

  let adminId = md5(secret)

    .split("")

    .map((c, i) => c.charCodeAt(0) ^ target.charCodeAt(i))

    .reduce((a, b) => a + b);

  res.json(ok({ token: sign({ id: adminId }) }));

});

// Get server info

app.get("/serverInfo", (req, res) => {

  let user = users[req.user.id] || { rights: [] };

  let info = user.rights.map(i => ({ name: i, value: config[i] }));

  res.json(ok({ info: info }));

});

app.post("/becomeAdmin", (req, res) => {

  let {value} = req.body;

  let uid = req.user.id;

  let user = users[uid];

  let maxValue = [value, config.adminValue].sort()[1];

  if(value >= maxValue && user.value >= value) {

    user.isAdmin = true;

    res.send(ok({ isAdmin: true }));

  }else{

    res.json(err("You need pay more!"));

  }

});

// only admin can update user

app.post("/updateUser", (req, res) => {

  let uid = req.user.id;

  let user = users[uid];

  if (!user || !isAdmin(user)) {

    res.json(err("You're not an admin!"));

    return;

  }

  let rights = req.body.rights || [];

  if (rights.length > 0 && checkRights(rights)) {

    users[uid].rights = user.rights.concat(rights).filter((value, index, self)=>{

      return self.indexOf(value) === index;

    });

  }

  res.json(ok({ user: users[uid] }));

});

// only uid===0 can get the flag

app.get("/flag", (req, res) => {

  if (req.user.id == 0) {

    res.send(ok({ flag: flag }));

  } else {

    res.send(err("Unauthorized"));

  }

});

server.listen(config.port, () =>

  console.log(`Server listening on port ${config.port}!`)

);

看了下 init注册 login登录 然后获取admin身份 查看flag

apereocas

apereocas 4.1.6

反序列化 用p神的轮子一把梭 https://github.com/vulhub/Apereo-CAS-Attack

直接反弹shell

替换execution参数

2020 天翼杯 部分wp的更多相关文章

  1. BMZCTF 2020祥云杯到点了

    2020祥云杯到点了 下载附件得到三个word文档,我们打开第一个文档然后将隐藏文字显示出来 得到提示 我们查看属性应该就是日期了我们先把他记录下来 然后打开第二个文档 输入刚刚的密码 在第二个wor ...

  2. 2020 10月CUMTCTF wp

    华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入: payload{{key}}发现[]以及类似 ...

  3. 2019 湖湘杯 Reverse WP

    0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx ...

  4. 记 2020蓝桥杯校内预选赛(JAVA组) 赛后总结

    目录 引言 结果填空 1. 签到题 2. 概念题 3. 签到题 4. 签到题 程序题 5. 递增三元组[遍历] 6. 小明的hello[循环] 7. 数位递增[数位dp] 8. 小明家的草地[bfs] ...

  5. 2020华为杯数学建模B题-RON建模 赛后总结与分析

    好久好久没有写博客了...挺累的,从二月份开始找暑期实习,接着在进行暑期实习,然后马不停蹄地进行秋招,现在总算结束实习,前两天又参加了华为杯数学建模竞赛,感觉接下来就会很轻松了,希望能好好休息休息.这 ...

  6. 2019红帽杯部分wp

    xx 程序首先取输入的前4个字符作为xxtea加密的密钥之后进行xxtea加密.接着进行位置置换操作,然后又进行了以3个为一组的异或 首先逆向解出xxtea加密之后的结果 #include<st ...

  7. 2019 红帽杯 Re WP

    0x01 xx 测试文件:https://www.lanzous.com/i7dyqhc 1.准备 获取信息 64位文件 2.IDA打开 使用Findcrypt脚本可以看到 结合文件名是xx,因此猜测 ...

  8. i春秋2020新春公益赛WP

    Re Factory 主函数fork了一个子进程,父进程添加了一个信号处理器用于比对input,然后死循环挂起.子进程读入input,然后调用了关键函数. 跟进关键函数,发现是从一段内存中读取数据,然 ...

  9. MySQL数据库企业集群项目实战(阶段三)

                              MySQL数据库企业集群项目实战(阶段三) 作者 刘畅 时间 2020-10-25 目录 1 架构拓扑图 1 1.1 方案一 1 1.2 方案二 2 ...

随机推荐

  1. python3之工程中必须依赖的__init__.py

    1.  __init__.py 1.1  什么是__init__.py 在Python3工程里,当python3检测到一个目录下存在__init__.py文件时,Python3就会把它当成一个模块(m ...

  2. sqlserver 2000 insert注入的问题

    一个sql server 2000的注入点猜测语句如下:insert into t1(col1, col2, col3) values('注入点1','数据点2','xxx');注入点1的值可以通过o ...

  3. Java程序的种类

    Java程序的种类 Application:Java应用程序,是可以由Java解释器直接运行的程序. Applet:即Java小应用程序,是可随网页下载到客户端由浏览器解释执行的Java程序. Ser ...

  4. 怎样将.h文件添加到项目中

    作为C++的初学者,在运行别人的程序时,第一个遇到的问题就是无法将程序中写到的.h文件包含到项目中来.下面来写一下处理方法.本文以easyx.h为例进行说明 首先右键你的工程 选择Properties ...

  5. jmx_prometheus_javaagent+prometheus+alertmanager+grafana完成容器化java监控告警(二)

    一.拓扑图 二.收集数据 2.1前期准备 创建共享目录,即为了各节点都创建该目录,有两个文件,做数据共享 /home/target/prom-jvm-demo 1.下载文件 jmx_prometheu ...

  6. QQ三国 秘制机簧去哪打?打的太慢?

    我在完成这个任务时卡了很久,因为打的效率极低,因此最后我是如何完成的. 1. 先说打谁吧,刚开始我打机簧蜘蛛,就没打出来过,,后来换了机簧车,掉率就上升了,建议打机簧车. 2. 如果你一直打不出来,建 ...

  7. Spirit带你了解如何安全引入第三方资源

    Spirit带你了解如何安全的引入第三方资源 本文介绍一下如何安全的引入第三方资源 同源策略(SOP) 首先我们来了解一下什么是同源策略,下面的是wiki百科的定义 同源策略是指Web浏览器中,允许某 ...

  8. Java:关于 CAS 笔记

    Java:关于 CAS 笔记 本笔记是根据bilibili上 尚硅谷 的课程 Java大厂面试题第二季 而做的笔记 1. CAS 底层原理 概念 CAS 的全称是 Compare-And-Swap,它 ...

  9. [软工顶级理解组] 团队规划和任务拆解(Beta)

    目录 需求再分析 功能增减 管理改进 任务分解 人员管理 需求再分析 在Alpha阶段,我们的产品得到了用户的广泛好评,但是还是存在一些问题. 登录不稳定,登录速度慢等问题:这是北航VPN本身的不稳定 ...

  10. NGINX杂谈——flask_limiter的IP获取(怎么拿到真实的客户端IP)

    本篇博客将 flask_limiter 作为切入点,来记录一下自己对 remote_addr 和 proxy_add_x_forwarded_for 两个变量.X-Real-IP 和 X-Forwar ...