酷应用

强网拟态防御国际精英挑战赛-WriteUp

百家作者：Chamd5安全团队 2021-10-27 11:58:55

????????第三“强网”拟态防御国际精英挑战赛（以下简称“本届赛事”）将于2020年6月19日12点在南京拉开帷幕，本届赛事由中国工程院、南京市人民政府主办，网络通信与安全紫金山实验室、中国网络空间安全协会、江宁区人民政府、南京江宁经济技术开发区管委会、全国拟态技术与产业创新联盟承办。

早安~各位打工人
以及本次比赛的超长WriteUp
决定给大家放个pdf
欢迎各位点击链接自取~
https://github.com/ChaMd5Team/Venom-WP/blob/main/2021-%E5%BC%BA%E7%BD%91%E6%8B%9F%E6%80%81%E9%98%B2%E5%BE%A1%E5%9B%BD%E9%99%85%E7%B2%BE%E8%8B%B1%E6%8C%91%E6%88%98%E8%B5%9B-WriteUp.pdf
Venom的小伙伴们辛苦啦，以及欢迎各路大神加入我们！

Web

zerocalc

readFile('/etc/passwd')可以读文件
const?express?=?require("express");
const?path?=?require("path");
const?fs?=?require("fs");
const?notevil?=?require("./notevil");?//?patched?something...
const?crypto?=?require("crypto");
const?cookieSession?=?require("cookie-session");
const?app?=?express();
app.use(express.urlencoded({?extended:?true?}));
app.use(express.json());
app.use(cookieSession({
?name:?'session',
?keys:?[Math.random().toString(16)],
}));
//flag?in?root?directory?but?name?is?randomized
const?utils?=?{
?async?md5(s)?{
?return?new?Promise((resolve,?reject)?=>?{
?resolve(crypto.createHash("md5").update(s).digest("hex"));
?});
?},
?async?readFile(n)?{
?return?new?Promise((resolve,?reject)?=>?{
?fs.readFile(n,?(err,?data)?=>?{
?if?(err)?{
?reject(err);
?}?else?{
?resolve(data);
?}?});
?});
?},
}
const?template?=?fs.readFileSync("./static/index.html").toString();
function?render(s)?{
?return?template.replace("{{res}}",?s.join('<br/>'));
}
app.use("/",?async?(req,?res)?=>?{
?const?e?=?req.body.e;
?const?his?=?req.session.his?||?[];
?if?(e)?{
?try?{
?const?ret?=?(await?notevil(e,?utils)).toString();
?his.unshift(`${e}?=?${ret}`);
?if?(his.length?>?10)?{
?his.pop();
?}
?}?catch?(error)?{
?console.log(error);
?his.add(`${e}?=?wrong?`);
?}
?req.session.his?=?his;
?}
?res.send(render(his));
});
app.use((err,?res)?=>?{
?console.log(err);
?res.redirect('/');
});
app.listen(process.env.PORT?||?8888);