天翼杯

呜呜呜呜 是我太菜了

Web

APItest

源码

const express = require("express");

const cors = require("cors");

const app = express();

const uuidv4 = require("uuid/v4");

const md5 = require("md5");

const jwt = require("express-jwt");

const jsonwebtoken = require("jsonwebtoken");

const server = require("http").createServer(app);

const { flag, secret, jwtSecret } = require("./flag");

const config = {

  port: process.env.PORT || 8081,

  adminValue: 1000,

  message: "Can you get flag?",

  secret: secret,

  adminUsername: "kirakira_dokidoki",

  whitelist: ["/", "/login", "/init", "/source"],

};

let users = {

  0: {

    username: config.adminUsername,

    isAdmin: true,

    rights: Object.keys(config)

  }

};

app.use(express.json());

app.use(cors());

app.use(

  jwt({ secret: jwtSecret }).unless({

    path: config.whitelist

  })

);

app.use(function(error, req, res, next) {

  if (error.name === "UnauthorizedError") {

    res.json(err("Invalid token or not logged in."));

  }

});

function sign(o) {

  return jsonwebtoken.sign(o, jwtSecret);

}

function ok(data = {}) {

  return { status: "ok", data: data };

}

function err(msg = "Something went wrong.") {

  return { status: "error", message: msg };

}

function isValidUser(u) {

  return (

    u.username.length >= 6 &&

    u.username.toUpperCase() !== config.adminUsername.toUpperCase() && u.username.toUpperCase() !== config.adminUsername.toLowerCase()

  );

}

function isAdmin(u) {

  return (u.username.toUpperCase() === config.adminUsername.toUpperCase() && u.username.toUpperCase() === config.adminUsername.toLowerCase()) || u.isAdmin;

}

function checkRights(arr) {

  let blacklist = ["secret", "port"];

  if(blacklist.includes(arr)) {

    return false;

  }

  for (let i = 0; i < arr.length; i++) {

    const element = arr[i];

    if (blacklist.includes(element)) {

      return false;

    }

  }

  return true;

}

app.get("/", (req, res) => {

  res.json(ok({ hint:  "You can get source code from /source"}));

});

app.get("/source", (req, res) => {

    res.sendFile( __dirname + "/" + "app.js");

});

app.post("/login", (req, res) => {

  let u = {

    username: req.body.username,

    id: uuidv4(),

    value: Math.random() < 0.0000001 ? 100000000 : 100,

    isAdmin: false,

    rights: [

      "message",

      "adminUsername"

    ]

  };

  if (isValidUser(u)) {

    users[u.id] = u;

    res.send(ok({ token: sign({ id: u.id }) }));

  } else {

    res.json(err("Invalid creds"));

  }

});

app.post("/init", (req, res) => {

  let { secret } = req.body;

  let target = md5(config.secret.toString());

  let adminId = md5(secret)

    .split("")

    .map((c, i) => c.charCodeAt(0) ^ target.charCodeAt(i))

    .reduce((a, b) => a + b);

  res.json(ok({ token: sign({ id: adminId }) }));

});

// Get server info

app.get("/serverInfo", (req, res) => {

  let user = users[req.user.id] || { rights: [] };

  let info = user.rights.map(i => ({ name: i, value: config[i] }));

  res.json(ok({ info: info }));

});

app.post("/becomeAdmin", (req, res) => {

  let {value} = req.body;

  let uid = req.user.id;

  let user = users[uid];

  let maxValue = [value, config.adminValue].sort()[1];

  if(value >= maxValue && user.value >= value) {

    user.isAdmin = true;

    res.send(ok({ isAdmin: true }));

  }else{

    res.json(err("You need pay more!"));

  }

});

// only admin can update user

app.post("/updateUser", (req, res) => {

  let uid = req.user.id;

  let user = users[uid];

  if (!user || !isAdmin(user)) {

    res.json(err("You're not an admin!"));

    return;

  }

  let rights = req.body.rights || [];

  if (rights.length > 0 && checkRights(rights)) {

    users[uid].rights = user.rights.concat(rights).filter((value, index, self)=>{

      return self.indexOf(value) === index;

    });

  }

  res.json(ok({ user: users[uid] }));

});

// only uid===0 can get the flag

app.get("/flag", (req, res) => {

  if (req.user.id == 0) {

    res.send(ok({ flag: flag }));

  } else {

    res.send(err("Unauthorized"));

  }

});

server.listen(config.port, () =>

  console.log(`Server listening on port ${config.port}!`)

);

看了下 init注册 login登录 然后获取admin身份 查看flag

apereocas

apereocas 4.1.6

反序列化 用p神的轮子一把梭 https://github.com/vulhub/Apereo-CAS-Attack

直接反弹shell

替换execution参数

2020 天翼杯 部分wp的更多相关文章

  1. BMZCTF 2020祥云杯到点了

    2020祥云杯到点了 下载附件得到三个word文档,我们打开第一个文档然后将隐藏文字显示出来 得到提示 我们查看属性应该就是日期了我们先把他记录下来 然后打开第二个文档 输入刚刚的密码 在第二个wor ...

  2. 2020 10月CUMTCTF wp

    华为杯 × 签到杯√ 论比赛过程来说没什么很大收获 但看师傅们的wp感触很多 赛后复现慢慢学吧 Web babyflask flask ssti模板注入: payload{{key}}发现[]以及类似 ...

  3. 2019 湖湘杯 Reverse WP

    0x01 arguement 下载链接:https://www.lanzous.com/i7atyhc 1.准备 获取到信息: 32位的文件 upx加密文件 在控制台打开文件 使用"upx ...

  4. 记 2020蓝桥杯校内预选赛(JAVA组) 赛后总结

    目录 引言 结果填空 1. 签到题 2. 概念题 3. 签到题 4. 签到题 程序题 5. 递增三元组[遍历] 6. 小明的hello[循环] 7. 数位递增[数位dp] 8. 小明家的草地[bfs] ...

  5. 2020华为杯数学建模B题-RON建模 赛后总结与分析

    好久好久没有写博客了...挺累的,从二月份开始找暑期实习,接着在进行暑期实习,然后马不停蹄地进行秋招,现在总算结束实习,前两天又参加了华为杯数学建模竞赛,感觉接下来就会很轻松了,希望能好好休息休息.这 ...

  6. 2019红帽杯部分wp

    xx 程序首先取输入的前4个字符作为xxtea加密的密钥之后进行xxtea加密.接着进行位置置换操作,然后又进行了以3个为一组的异或 首先逆向解出xxtea加密之后的结果 #include<st ...

  7. 2019 红帽杯 Re WP

    0x01 xx 测试文件:https://www.lanzous.com/i7dyqhc 1.准备 获取信息 64位文件 2.IDA打开 使用Findcrypt脚本可以看到 结合文件名是xx,因此猜测 ...

  8. i春秋2020新春公益赛WP

    Re Factory 主函数fork了一个子进程,父进程添加了一个信号处理器用于比对input,然后死循环挂起.子进程读入input,然后调用了关键函数. 跟进关键函数,发现是从一段内存中读取数据,然 ...

  9. MySQL数据库企业集群项目实战(阶段三)

                              MySQL数据库企业集群项目实战(阶段三) 作者 刘畅 时间 2020-10-25 目录 1 架构拓扑图 1 1.1 方案一 1 1.2 方案二 2 ...

随机推荐

  1. 5-让出CPU执行权的yield方法

    让出CPU执行权的yield方法 Thread类有一个静态的yield方法,当一个线程在调用yield方法时,实际上就是暗示线程调度器请求让出自己的CPU使用,但是线程调度器可以无条件忽略这个暗示. ...

  2. JDK源码阅读(3):AbstractStringBuilder、StringBuffer、StringBuilder类阅读笔记

    AbstractStringBuilder abstract class AbstractStringBuilder implements Appendable, CharSequence{ ... ...

  3. 梦幻西游H5游戏超详细图文架设教程

    前言 想体验经典Q版西游霸服快乐吗?想体验满级VIP的尊贵吗?想体验一招秒杀的爽快吗?各种极品装备.翅膀.宠物通通给你,就在梦幻西游! 本文讲解梦幻西游H5游戏的架设教程,想研究H5游戏如何实现,体验 ...

  4. 为什么下一个十年的主战场在 Serverless?

    作者 | 不瞋 阿里云 Serverless 负责人 "唯有超越,才能让我们走下去." 这是不瞋在阿里的第十年.从 2010 年加入阿里云,不瞋参与了阿里云飞天分布式系统的研发,历 ...

  5. 浅谈一手MYSQL设计规范

    前言: 最近牵头搞一个机场管理集团的项目,发现团队中的成员对于库表设计,有非常多的盲区.所以决定写一篇文章,总结一下最近工作的几年中,常用的一些数据库设计规范和思路. 目的 MySQL数据库与 Ora ...

  6. 题解 2020.10.24 考试 T4 模板

    题目传送门 题目大意 有一个 \(n\) 个点组成的树,有 \(m\) 次操作,每次将 \(1\to x\) 的路径上每个点都加入一个颜色为 \(c\) 的小球.但是每个点都有大小限制,即小球个数超过 ...

  7. Spring 框架学习

    转载自前辈:我没有三个新脏 Spring学习(1)--快速入门 认识 Spring 框架 Spring 框架是 Java 应用最广的框架,它的成功来源于理念,而不是技术本身,它的理念包括 IoC (I ...

  8. for...of 和 for...in 是否可以直接遍历对象,有什么解决方案

    答案: for...of不能直接遍历对象,for  in可以直接遍历对象 原因: for...of需要实现iterator接口,对象没有实现iterator接口 解决: const obj = {a: ...

  9. 小白自制Linux开发板 七. USB驱动配置

    本文章基于https://whycan.com/t_3087.htmlhttps://whycan.com/t_6021.html整理 F1c100s芯片支持USB的OTG模式,也就是可以通过更改Us ...

  10. 974.和可被K整除的子数组

    题目 给定一个整数数组 A,返回其中元素之和可被 K 整除的(连续.非空)子数组的数目. 示例: 输入:A = [4,5,0,-2,-3,1], K = 5 输出:7 解释: 有 7 个子数组满足其元 ...