源码:

const bodyParser = require("body-parser")

const express = require("express")

const fs = require("fs")

const customhash = require("./customhash")

const app = express()

app.use(bodyParser.json())

const port = 3000

const flag = "flag"

const secret_key = "Y0ure_g01nG_t0_h4v3_t0_go_1nto_h4rdc0r3_h4ck1ng_m0d3"

app.get('/', (req, res) => {

    console.log("[-] Source view")

    res.type("text")

    return fs.readFile("index.js", (err,data) => res.send(data.toString().replace(flag, "flag")))

})

app.post('/getflag', (req, res) => {

    console.log("[-] Getflag post")

    if (!req.body) {return res.send("400")}

    let one = req.body.one

    let two = req.body.two

    console.log(req.body)

    if (!one || !two) {

        return res.send("400")

    }

    if ((one.length !== two.length) || (one === two)) {

        return res.send("Strings are either too different or not different enough")

    }

    one = customhash.hash(secret_key + one)

    two = customhash.hash(secret_key + two)

    if (one == two) {

        console.log("[*] Flag get!")

        return res.send(flag)

    } else {

        return res.send(`${one} did not match ${two}!`)

    }

})

app.listen(port, () => console.log(`Listening on port ${port}`))

因为本人对nodejs一无所知。所以很多语法都是临时查的。整个源码浏览一遍之后,我们把重点放在以下几处处代码上

app.post('/getflag', (req, res) => {

    console.log("[-] Getflag post")

    if (!req.body) {return res.send("400")}

    let one = req.body.one

    let two = req.body.two

大致的意思是用post方式向/getfkag传两个参数,参数名为one和two,如果没有接收到参数则返回400。

const bodyParser = require("body-parser")
body-parser是Express的中间件。模块会处理application/x-www-form-urlencoded、application/json两种格式的请求体。
经过这个中间件后,就能在所有路由处理器的req.body中访问请求参数。
body-parser默认接受方式是application/x-www-form-urlencoded。
app.use(bodyParser.json())

app.use()用于定义路由规则。详情可移步https://blog.csdn.net/u014473112/article/details/51992771

很明显用的是json格式,这就是问题所在。

hackbar的传参是x-www-form-urlencoded格式。所以怎么传都是返回400。返回的400是第一个if的结果。因为没有收到正确的参数格式所以req.body为空

因此需要用bp改一下包,把Content-Type改为application/json,然后再以json格式传参

那么目前传参问题就解决了。接着就要分析参数内容了。





    if ((one.length !== two.length) || (one === two)) {

        return res.send("Strings are either too different or not different enough")

    }

    one = customhash.hash(secret_key + one)

    two = customhash.hash(secret_key + two)

    if (one == two) {

        console.log("[*] Flag get!")

        return res.send(flag)

    } else {

        return res.send(`${one} did not match ${two}!`)

    }

})

app.listen(port, () => console.log(`Listening on port ${port}`))






第一个if判断两个参数长度,要求长度相同且内容且值不同


之后分别在secret_key后加上两个参数,再进行hash加密,要求hash值相同


构造payload:{"one":[{"2":"32"}],"two":[{"1":"c"}]}(数组为空也行)


和php的弱类型差不多。one和two值都为数组类型。因为payload数组元素相等,相当于one[1]和two[1],所以长度相等。js在拼接的时候会转换参数类型,数组转换后解析为NaN,


因此hash值相等,提交后成功获得flag











												


											
RACTF-web C0llide?(js弱类型)的更多相关文章
	

    
								
  1. [原题复现]百度杯CTF比赛 十月场 WEB EXEC(PHP弱类型)
		
    简介  原题复现:  考察知识点:PHP弱类型.  线上平台:https://www.ichunqiu.com/battalion(i春秋 CTF平台) 过程 看源码发现这个 vim泄露  下方都试了 ...
    
		
    2. 
						
  2. 在js中获取页面元素的属性值时,弱类型导致的诡异事件踩坑记录,
		
    前几天写一个js的时候遇到一个非常诡异的事情,这个问题是这样的,我要获取一个页面的DOM元素的val值,判断这个值是否比某个变量大,这个需求原先数字最大也就是10,现在要改了,可能会更多,这个时候我发 ...
    
		
    3. 
						
  3. 2016年11月3日JS脚本简介数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6.布尔型数据:bool 7.对象类型:object 8.二进制:binary 语言类型: 1.强类型语言:c++ c c# java 2.弱类型语
		
    数据类型: 1.整型:int 2.小数类型: float(单精度) double(双精度) decimal () 3.字符类型: chr 4.字符串类型:sting 5.日期时间:datetime 6 ...
    
		
    4. 
						
  4. [JS2] JS是弱类型
		
    <html> <head> <title>JavaScript 是弱类型的</title> <Script Language="Java ...
    
		
    5. 
						
  5. PHP弱类型安全问题的写法和步骤
		
    鉴于目前PHP是世界上最好的语言,PHP本身的问题也可以算作是web安全的一个方面.在PHP中的特性就是弱类型,以及内置函数对于传入参数的松散处理.本篇文章主要就是记录我在做攻防平台上面遇到的PHP的 ...
    
		
    6. 
						
  6. js部分---类型,变量;
		
    <script type="text/javascript">1.注释:用“//或者/**/”2.数据类型: (1)整型 int (2)小数类型 单精度float 双精 ...
    
		
    7. 
						
  7. 弱类型语言中的0和空字符串(''或"")以及字符串'0'
		
    在弱类型语言(js/PHP)中, 当我们用==判断0和'0'以及空字符串(''或"")是否相等的时候, 返回的是true. 而且在PHP中, 当我们用==判断0和null是否相等的 ...
    
		
    8. 
						
  8. 《You dont know JS》类型篇总结
		
    类型 javaScript中的类型和熟知的一些强类型语言的有关类型的定义是不一样的.在js中,类型的含义是值的内部特征,它定义了值得行为,以使其区别于其他值.(a type is an intrins ...
    
		
    9. 
						
  9. CTF中常见的 PHP 弱类型漏洞总结
		
    作者:ZERO    所属团队:Arctic Shell 参考资料: http://archimesan.me/2017/12/21/php%E5%BC%B1%E7%B1%BB%E5%9E%8B%E6 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. Idea 可用激活方式
			
    链接:https://pan.baidu.com/s/14ljbzMJ6uF9zKcQ575ftFA 提取码:yd54
    
			
    2. 
						
  2. Python 简明教程 --- 20,Python 类中的属性与方法
			
    微信公众号:码农充电站pro 个人主页:https://codeshellme.github.io 与客户保持良好的关系可以使生产率加倍. -- Larry Bernstain 目录 类中的变量称为属 ...
    
			
    3. 
						
  3. dart快速入门教程 (7.1)
			
    7.面向对象 dart是一门使用类和单继承的面向对象语言,所有的对象都是类的实例,所有的类都是Object的子类,换句话说就是万物皆对象 7.1.类与对象 void main() { // 注意:ne ...
    
			
    4. 
						
  4. 如何在linux下安装tomcat服务器
			
    linux作为现在比较主流的服务器操作系统,使用的机器广泛,安全稳定.tomcat作为应用容器当然可以有linux版本的tomcat.在linux上安装tomcat的方式也很简单,只需要运行脚本基本配 ...
    
			
    5. 
						
  5. python之浅谈计算机基础
			
    目录 一.计算机基础之编程 什么是编程语言 什么是编程 为什么要编程 二.计算机组成原理 1. 计算机五大组成 CPU 存储器 输入设备 输出设备 2.计算机五大部分补充 CPU相关 应用程序启动流程 ...
    
			
    6. 
						
  6. Spring 获取单例流程(三)
			
    读完这篇文章你将会收获到 Spring 何时将 bean 加入到第三级缓存和第一级缓存中 Spring 何时回调各种 Aware 接口.BeanPostProcessor .InitializingB ...
    
			
    7. 
						
  7. Markdown-it-latex2img
			
    Markdown-it-latex2img LaTex plugin for markdown-it markdown parser,Server side MathJax Renderer. Bac ...
    
			
    8. 
						
  8. 一个JSON解构赋值给另一个字段不同的JSON
			
    往数据里添加JSON字符串 // 往数据里添加JSON字符串 var arr = []; var json ={"name":"liruilong"," ...
    
			
    9. 
						
  9. 面试之Hashtable和ConcurrentHashMap
			
    那么要如何保证HashMap的线程安全呢? 方法有很多,比如使用Hashtable或者Collections.synchronizedMap,但是这两位选手都有一个共同的问题:性能.因为不管是读还是写 ...
    
			
    10. 
						
  10. Scala数据结构(二)
			
    一.集合的基础操作 1,head头信息 //获取集合的第一个元素 val list = List(,,) list.head // 2,tail尾信息 //获取集合除去头元素之外的所有元素 val l ...
    
			
    11.