hackjs

题目描述：A baby oldjs, just warm up.

附件给源码

const express = require('express')
const fs = require('fs')
var bodyParser = require('body-parser');
const app = express()
app.use(bodyParser.urlencoded({
    extended: true
}));
app.use(bodyParser.json());

app.post('/plz', (req, res) => {

    venom = req.body.venom

    if (Object.keys(venom).length < 3 && venom.welcome == 159753) {
        try {
            if(venom.hasOwnProperty("text")){
                res.send(venom.text)
            }else{
                res.send("no text detected")
            }
        } catch {
            if (venom.text=="flag") {
                let flag=fs.readFileSync("/flag");
                res.send("Congratulations:"+flag);
            } else {
                res.end("Nothing here!")
            }
        }
    } else {
        res.end("happy game");
    }
})



app.get('/',
function(req, res, next) {
    res.send('<title>oldjs</title><a>Hack me plz</a><br><form action="/plz" method="POST">text:<input type="text" name="venom[text]" value="ezjs"><input type="submit" value="Hack"></form>  ');
});

app.listen(80, () => {
  console.log(`listening at port 80`)
}) 

开题

点击hack进入/plz路由，代码不分析了，gpt都能看懂。

所有继承了 Object 的对象都会继承到 hasOwnProperty 方法。这个方法可以用来检测一个对象是否含有特定的自身属性；和 in 运算符不同，该方法会忽略掉那些从原型链上继承到的属性。

payload：

venom[__proto__][welcome]=159753&venom[hasOwnProperty]=Jay17&venom[text]=flag

解释一下：

1. venom[__proto__][welcome]=159753：这一部分试图修改venom对象的原型（即venom对象的__proto__属性指向的对象）上的welcome属性。在JavaScript中，所有的对象默认继承自Object.prototype，除非明确地改变了对象的原型链。通过设置venom[__proto__][welcome]=159753，它实际上是在所有对象的原型上设置了welcome属性的值为159753，因为__proto__是指向对象原型的引用。
2. venom[hasOwnProperty]=Jay17：这部分将venom对象的hasOwnProperty属性设置为字符串"flag"。正常情况下，hasOwnProperty是一个继承自Object.prototype的方法，用于检查对象是否拥有特定的自有属性。通过将它设置为一个字符串，venom.hasOwnProperty("text")的调用将会失败，因为hasOwnProperty已不再是一个函数。所以进入catch块
3. venom[text]=flag：这部分设置venom对象的text属性为字符串"flag"。

现在，让我们回到原始的服务器端代码逻辑，看看为什么这个传参能够导致输出flag：

• 服务器期望venom对象有一个welcome属性，其值为159753，而这已经通过原型污染在所有对象上设置了。
• 服务器代码检查venom.hasOwnProperty("text")，这个调用会失败（抛出异常）因为hasOwnProperty已被覆盖为一个非函数值，这使得执行流进入到catch块。
• 在catch块中，代码检查venom.text=="flag"，这个条件为真，因为venom的text属性已经被设置为"flag"。
• 因此，满足了输出flag的条件。

但是我很好奇的一点是，如下payload和之前同理，却无法输出flag

venom[welcome]=159753&venom[hasOwnProperty]=Jay17&venom[__proto__][text]=flag

但是这样又可以了（为什么原型链污染一定要放在传参的最前面呢？？？）

venom[__proto__][text]=flag&venom[hasOwnProperty]=Jay17&venom[welcome]=159753

Archived elephant【没出等WP】

题目描述：本打算通过写一个CMS来学习java狠狠赚他一笔，但写到一半发现好像有漏洞。都怪这个组件…虽然我也有问题:)

思路不要局限于文件上传本身，注意看题面

关键！！不是ueditor的历史漏洞，另外请注意pom.xml中存在较低版本的依赖

开题登录框。账号密码附件里找

之后是个文件上传点