AST注射CTF
在Nodejs应用中演示AST注入。 需要Docker和docker-compose!
生成Node.js应用程序映像
docker build -t demo-ctf . 构建映像时忽略所有红线:)))
泊坞窗组成
docker-compose up -d
运行应用
转到本地主机:3000
重新加载,直到一切正常
尝试RCE ^^
主意
浏览网站的功能,我们可以得出以下结果:
该站点用于统计功能,图形功能
勒索,勒索软件和受害者有3种主要模型
访问每个模型的路径以检查功能,请参阅两个模型勒索软件和受害者都有查看详细信息的功能。
检查两个模型的详细信息,查看受害者只能下载信息,勒索软件可以上传新配置以执行更新,可以上传文件以利用安全漏洞
在正确的功能中观察网站的源代码,以上传勒索软件配置文件:
使用模板引擎的网页是刀片
更新功能已重新注释以进行维护
var c
评论0
最新资源