天翼杯

呜呜呜呜 是我太菜了

Web

APItest

源码

const express = require("express");

const cors = require("cors");

const app = express();

const uuidv4 = require("uuid/v4");

const md5 = require("md5");

const jwt = require("express-jwt");

const jsonwebtoken = require("jsonwebtoken");

const server = require("http").createServer(app);

const { flag, secret, jwtSecret } = require("./flag");

const config = {

  port: process.env.PORT || 8081,

  adminValue: 1000,

  message: "Can you get flag?",

  secret: secret,

  adminUsername: "kirakira_dokidoki",

  whitelist: ["/", "/login", "/init", "/source"],

};

let users = {

  0: {

    username: config.adminUsername,

    isAdmin: true,

    rights: Object.keys(config)

  }

};

app.use(express.json());

app.use(cors());

app.use(

  jwt({ secret: jwtSecret }).unless({

    path: config.whitelist

  })

);

app.use(function(error, req, res, next) {

  if (error.name === "UnauthorizedError") {

    res.json(err("Invalid token or not logged in."));

  }

});

function sign(o) {

  return jsonwebtoken.sign(o, jwtSecret);

}

function ok(data = {}) {

  return { status: "ok", data: data };

}

function err(msg = "Something went wrong.") {

  return { status: "error", message: msg };

}

function isValidUser(u) {

  return (

    u.username.length >= 6 &&

    u.username.toUpperCase() !== config.adminUsername.toUpperCase() && u.username.toUpperCase() !== config.adminUsername.toLowerCase()

  );

}

function isAdmin(u) {

  return (u.username.toUpperCase() === config.adminUsername.toUpperCase() && u.username.toUpperCase() === config.adminUsername.toLowerCase()) || u.isAdmin;

}

function checkRights(arr) {

  let blacklist = ["secret", "port"];

  if(blacklist.includes(arr)) {

    return false;

  }

  for (let i = 0; i < arr.length; i++) {

    const element = arr[i];

    if (blacklist.includes(element)) {

      return false;

    }

  }

  return true;

}

app.get("/", (req, res) => {

  res.json(ok({ hint:  "You can get source code from /source"}));

});

app.get("/source", (req, res) => {

    res.sendFile( __dirname + "/" + "app.js");

});

app.post("/login", (req, res) => {

  let u = {

    username: req.body.username,

    id: uuidv4(),

    value: Math.random() < 0.0000001 ? 100000000 : 100,

    isAdmin: false,

    rights: [

      "message",

      "adminUsername"

    ]

  };

  if (isValidUser(u)) {

    users[u.id] = u;

    res.send(ok({ token: sign({ id: u.id }) }));

  } else {

    res.json(err("Invalid creds"));

  }

});

app.post("/init", (req, res) => {

  let { secret } = req.body;

  let target = md5(config.secret.toString());

  let adminId = md5(secret)

    .split("")

    .map((c, i) => c.charCodeAt(0) ^ target.charCodeAt(i))

    .reduce((a, b) => a + b);

  res.json(ok({ token: sign({ id: adminId }) }));

});

// Get server info

app.get("/serverInfo", (req, res) => {

  let user = users[req.user.id] || { rights: [] };

  let info = user.rights.map(i => ({ name: i, value: config[i] }));

  res.json(ok({ info: info }));

});

app.post("/becomeAdmin", (req, res) => {

  let {value} = req.body;

  let uid = req.user.id;

  let user = users[uid];

  let maxValue = [value, config.adminValue].sort()[1];

  if(value >= maxValue && user.value >= value) {

    user.isAdmin = true;

    res.send(ok({ isAdmin: true }));

  }else{

    res.json(err("You need pay more!"));

  }

});

// only admin can update user

app.post("/updateUser", (req, res) => {

  let uid = req.user.id;

  let user = users[uid];

  if (!user || !isAdmin(user)) {

    res.json(err("You're not an admin!"));

    return;

  }

  let rights = req.body.rights || [];

  if (rights.length > 0 && checkRights(rights)) {

    users[uid].rights = user.rights.concat(rights).filter((value, index, self)=>{

      return self.indexOf(value) === index;

    });

  }

  res.json(ok({ user: users[uid] }));

});

// only uid===0 can get the flag

app.get("/flag", (req, res) => {

  if (req.user.id == 0) {

    res.send(ok({ flag: flag }));

  } else {

    res.send(err("Unauthorized"));

  }

});

server.listen(config.port, () =>

  console.log(`Server listening on port ${config.port}!`)

);

看了下 init注册 login登录 然后获取admin身份 查看flag

apereocas

apereocas 4.1.6

反序列化 用p神的轮子一把梭 https://github.com/vulhub/Apereo-CAS-Attack

直接反弹shell

替换execution参数

2020 天翼杯 部分wp的更多相关文章

  1. BMZCTF 2020祥云杯到点了

    2020祥云杯到点了 下载附件得到三个word文档,我们打开第一个文档然后将隐藏文字显示出来 得到提示 我们查看属性应该就是日期了我们先把他记录下来 然后打开第二个文档 输入刚刚的密码 在第二个wor ...

  2. 2020 10月CUMTCTF wp

    华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入: payload{{key}}发现[]以及类似 ...

  3. 2019 湖湘杯 Reverse WP

    0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx ...

  4. 记 2020蓝桥杯校内预选赛(JAVA组) 赛后总结

    目录 引言 结果填空 1. 签到题 2. 概念题 3. 签到题 4. 签到题 程序题 5. 递增三元组[遍历] 6. 小明的hello[循环] 7. 数位递增[数位dp] 8. 小明家的草地[bfs] ...

  5. 2020华为杯数学建模B题-RON建模 赛后总结与分析

    好久好久没有写博客了...挺累的,从二月份开始找暑期实习,接着在进行暑期实习,然后马不停蹄地进行秋招,现在总算结束实习,前两天又参加了华为杯数学建模竞赛,感觉接下来就会很轻松了,希望能好好休息休息.这 ...

  6. 2019红帽杯部分wp

    xx 程序首先取输入的前4个字符作为xxtea加密的密钥之后进行xxtea加密.接着进行位置置换操作,然后又进行了以3个为一组的异或 首先逆向解出xxtea加密之后的结果 #include<st ...

  7. 2019 红帽杯 Re WP

    0x01 xx 测试文件:https://www.lanzous.com/i7dyqhc 1.准备 获取信息 64位文件 2.IDA打开 使用Findcrypt脚本可以看到 结合文件名是xx,因此猜测 ...

  8. i春秋2020新春公益赛WP

    Re Factory 主函数fork了一个子进程,父进程添加了一个信号处理器用于比对input,然后死循环挂起.子进程读入input,然后调用了关键函数. 跟进关键函数,发现是从一段内存中读取数据,然 ...

  9. MySQL数据库企业集群项目实战(阶段三)

                              MySQL数据库企业集群项目实战(阶段三) 作者 刘畅 时间 2020-10-25 目录 1 架构拓扑图 1 1.1 方案一 1 1.2 方案二 2 ...

随机推荐

  1. 当你创建了一个 Deployment 时,Kubernetes 内部发生了什么?

    我们通常使用 kubectl 来管理我们的 Kubernetes 集群. 当我们需要一个 Nginx 服务时,可以使用以下命令来创建: kubectl create deployment nginx ...

  2. CF605E-Intergalaxy Trips【期望dp】

    正题 题目链接:https://www.luogu.com.cn/problem/CF605E 题目大意 给出\(n\)个点的一张完全有向图,每一天\(i\)到\(j\)的路径有\(p_{i,j}\) ...

  3. 【深度学习】线性回归(Linear Regression)——原理、均方损失、小批量随机梯度下降

    1. 线性回归 回归(regression)问题指一类为一个或多个自变量与因变量之间关系建模的方法,通常用来表示输入和输出之间的关系. 机器学习领域中多数问题都与预测相关,当我们想预测一个数值时,就会 ...

  4. docker efk(filebeat+logstash+es+kibana)

    ​ 1.系统架构 ​ 通常我们说的elastic stack,也就是elk,通过es 收集日志数据,存到elasticsearch,最后通过kibana进行统计分析,但是elastic公司后续又推出了 ...

  5. mysql 建表后 重新构建 自增字段 (保留 原有字段结构)

    添加字段 1.去除原id的自增功能:ALTER TABLE A_A MODIFY COLUMN id int(10) NOT NULL FIRST ; 2.添加名称为cstId,类型为bigint的字 ...

  6. Jekins 插件Extended Choice Parameter显示Json Parameter Type遇到的问题

    在jenkins中使用Extended Choice Parameter插件用来显示自定义的多选项,尝试通过groovy script来显示,正常,但查看它的例子,发现它例子中多选是通过类型 Json ...

  7. Python笔记_1语法总结

    前言导读 本章知识点是我在最初期听python视频教程的时候整理总结的笔记 对python语法的认识对以后代码的解读有着很大的帮助. 1 新建python命名规则 新建项目名 :数字编号 项目名称 新 ...

  8. 洛谷2408不同字串个数/SPOJ 694/705 (后缀数组SA)

    真是一个三倍经验好题啊. 我们来观察这个题目,首先如果直接整体计算,怕是不太好计算. 首先,我们可以将每个子串都看成一个后缀的的前缀.那我们就可以考虑一个一个后缀来计算了. 为了方便起见,我们选择按照 ...

  9. 洛谷4248 AHOI2013差异 (后缀数组SA+单调栈)

    补博客! 首先我们观察题目中给的那个求\(ans\)的方法,其实前两项没什么用处,直接\(for\)一遍就求得了 for (int i=1;i<=n;i++) ans=ans+i*(n-1); ...

  10. SpringBoot之日志注解和缓存优化

    SpringBoot之日志注解和缓存优化 日志注解: 关于SpringBoot中的日志处理,在之前的文章中页写过: 点击进入 这次通过注解+Aop的方式来实现日志的输出: 首先需要定义一个注解类: @ ...