这题学js
admin注册、登录不了
随便注册一个账号
拿不到flag
permission denied
抓包伪造试试
修改token
我以为这里可以,然而不是,依旧是permission denied
看源码
表单不是html和php
看看app.js
/**
* 或许该用 koa-static 来处理静态文件
* 路径该怎么配置?不管了先填个根目录XD
*/
function login() {
const username = $("#username").val();
const password = $("#password").val();
const token = sessionStorage.getItem("token");
$.post("/api/login", {username, password, authorization:token})
.done(function(data) {
const {status} = data;
if(status) {
document.location = "/home";
}
})
.fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
function register() {
const username = $("#username").val();
const password = $("#password").val();
$.post("/api/register", {username, password})
.done(function(data) {
const { token } = data;
sessionStorage.setItem('token', token);
document.location = "/login";
})
.fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
function logout() {
$.get('/api/logout').done(function(data) {
const {status} = data;
if(status) {
document.location = '/login';
}
});
}
function getflag() {
$.get('/api/flag').done(function(data) {
const {flag} = data;
$("#username").val(flag);
}).fail(function(xhr, textStatus, errorThrown) {
alert(xhr.responseJSON.message);
});
}
关键代码
$.post("/api/login", {username, password, authorization:token})
根据提示,这是koa框架,单看这份源码是不够的,因此考察的是我们对于这个基于Nodejs的koa框架目录有一定的了解
├─src 应用目录(可设置)
│ ├─controller 控制器
│ ├─config 配置文件
│ ├─db 数据库相关配置
├─ model 各个数据模型
├─ index.js 数据库配置页面
│ ├─middleWares 中间件
│ ├─routes 路由
├─ index.js 路由入口文件
├─ users.js 用户路由
│ ├─service 服务
│ ├─app.js 入口文件
总体MVC框架
访问controllers/api.js
发现处理逻辑
const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')
const APIError = require('../rest').APIError;
module.exports = {
'POST /api/register': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || username === 'admin'){
throw new APIError('register error', 'wrong username');
}
if(global.secrets.length > 100000) {
global.secrets = [];
}
const secret = crypto.randomBytes(18).toString('hex');
const secretid = global.secrets.length;
global.secrets.push(secret)
const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});
ctx.rest({
token: token
});
await next();
},
'POST /api/login': async (ctx, next) => {
const {username, password} = ctx.request.body;
if(!username || !password) {
throw new APIError('login error', 'username or password is necessary');
}
const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;
const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;
console.log(sid)
if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
throw new APIError('login error', 'no such secret id');
}
const secret = global.secrets[sid];
const user = jwt.verify(token, secret, {algorithm: 'HS256'});
const status = username === user.username && password === user.password;
if(status) {
ctx.session.username = username;
}
ctx.rest({
status
});
await next();
},
'GET /api/flag': async (ctx, next) => {
if(ctx.session.username !== 'admin'){
throw new APIError('permission error', 'permission denied');
}
const flag = fs.readFileSync('/flag').toString();
ctx.rest({
flag
});
await next();
},
'GET /api/logout': async (ctx, next) => {
ctx.session.username = null;
ctx.rest({
status: true
})
await next();
}
};
关键代码
module.exports = {
'POST /api/register': async (ctx, next) => {
·····
const user = jwt.verify(token, secret, {algorithm: 'HS256'});
·····
应和之前的关键代码处,这里注册的认证方式是jwt-token
buu ikun那道题也是涉及到jwt认证问题
思路逻辑理清了
因为之前已经注册了,已经生成了jwt-token
直接回到登录页面,抓包修改authorization
payload:
https://www.icode9.com/content-1-854191.html
[b01lers2020]Welcome to Earth
疯狂js跳转
知识点:
window.location.pathname
一开始就die了
http://a1e1a7e0-ba7e-4f2f-aa9b-6b8310ced2d6.node4.buuoj.cn/die/
一定有问题,删除/die/回到主页面
http://a1e1a7e0-ba7e-4f2f-aa9b-6b8310ced2d6.node4.buuoj.cn/
die的速度太快了,抓包查看源码
直接在包里改
- /chase/
- /leftt/
懂html+css就知道,这个button会触发跳转到/die/
真正的提示在注释
- /shoot/
继续
- /door/
这一页有很多选项,这时候就访问看一下详情
查看源码,跟进door.js源码
- /open/
- /fight/
这里有action操作
审计以后了解到逻辑;
flag的顺序是由action值决定的
这么麻烦,
直接手动排序拼接
pctf{hey_boys_im_baaaaaaaaaack!}