【HTB】breaking grad靶机攻克

前言

我这边下载htb靶机代码进行代码审计及靶机攻克过程记录。

下载文件

信息收集

访问网站，查看页面基本信息 

发现页面有一按钮，点击可跳转本页面。

点击按钮后，发送post请求/api/calculate.每次点击按钮获得的内容不一样

仅限于0和O的区别。具体有什么规律能不能突破，需要进一步分析代码

代码分析

可见，该网站路径有三个

1》/

2》/debug/:action

3》/api/calculate

针对以下路径一一代码审计流程

1》/

Get请求/--views/index.html展示html内容--点击页面按钮-发送post请求/api/calculate

2》/debug/:action

Get请求--DebugHelper文件execute函数

其中涉及三条路径。

/debug/version 展示Everything is OK (v12.18.1 == v12.18.1)

进入VersionCheck.js得知该处使用nodejs，用以检查nodejs版本

/debug/ram  展示free -m命令执行结果

/debug/ss(version、ram以外任意文字)  展示invalid command

3》/api/calculate

Post请求--ObjectHelper文件clone函数--this.merge({}, target)

刚好满足将等待操作的对象req.body,merge到一个空对象中.满足原型链会被污染的条件。

哪些情况下原型链会被污染

（1）常发生在merge 等对象递归合并操作

（2）对象clone（其实内核就是将待操作的对象merge到一个空对象中）

（3）路径查找属性然后修改属性的时候

js原型链污染

原型链用来做继承，也就是基于原有的代码做一定的修改。在一个应用中，如果攻击者控制并修改了一个对象的原型，那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染。

基本原理：引用类型的属性被所有实例共享

该处nodejs 原型链污染应为突破口

Google搜nodejs pollution hackticks

使用该处payload，用以修改对象的原型，从而改变所有调用该原型的函数展示处，进行展示命令执行后的结果。

有payload，那么直接执行即可。

Payload：

{"name":"Cat","constructor":{"prototype":{"env":{ "EVIL":"console.log(require('child_process').execSync('ls').toString())//"},"NODE_OPTIONS":"--require /proc/self/environ"}}}

process 对象是一个 global （全局变量），提供有关信息，控制当前 Node.js 进程。该对象表示Node所处的当前进程，允许开发者与该进程互动。

该处调用了污染后的process对象，由/debug/version访问。

所以该处进行展示。

漏洞利用

原型链污染 

展示 

更改命令访问flag_e1T6f文件 

Flag:HTB{l00s1ng_t3nur3_l1k3_it5_fr1d4y_m0rn1ng}

原文始发于微信公众号（安全女巫）：【HTB】breaking grad靶机攻克