---
tags: CTF
---
# VietAn Web challenge 0x2 - writeup
## Analysis
```typescript=
// lib/index.ts
router.get('/', (req: IRequest, res: Response) => {
if (!req.user) return res.redirect('/auth/login');
const secret = req.user.role === Role.USER ? 'No secret for you' : process.env.FLAG;
res.render('index', {
user: req.user,
secret,
});
});
```
Biết được flag nằm ở env và account login phải có role khác USER.
```typescript=
// lib/util.ts
import { Database } from "@drstrain/database";
import { Request } from 'express';
export enum Role {
ADMIN = 0,
USER = 1,
}
export interface User {
username: string;
password: string;
role: Role;
}
const admin: User = {
username: 'admin',
password: process.env.ADMIN_PASSWORD,
role: Role.ADMIN,
}
const userDatabase = new Database();
userDatabase.set('admin', admin);
export { userDatabase };
export const sessionDatabase = new Database('session');
export interface IRequest extends Request {
user: User;
cookies: { id: string};
}
```
Khi server được run thì sẽ set 1 tài khoản admin với role là ADMIN (0) vào trong database.
```typescript=
// lib/auth.ts
type AuthBody = {
username: string;
password: string;
}
function handleLogin(body: AuthBody, res: Response): boolean {
const { username, password } = body;
const user = userDatabase.get(username);
if (!user || user.password !== password) return false;
const newSession = randomBytes(32).toString('hex');
sessionDatabase.set(newSession, user);
res.cookie('id', newSession);
return true;
}
router.post('/login', (req, res) => {
if (handleLogin(req.body, res)) return res.redirect('/'); // Success
res.render('auth', {
title: 'Login',
error: 'Wrong username or password'
});
});
function handleRegister(body: AuthBody, res: Response): boolean {
const { username, password } = body;
if (userDatabase.get(username)) return false; // User already existed
const user: User = {
username,
password,
role: Role.USER,
};
userDatabase.set(username, user);
const newSession = randomBytes(32).toString('hex');
sessionDatabase.set(newSession, user);
res.cookie('id', newSession);
return true;
}
router.post('/register', (req, res) => {
if (handleRegister(req.body, res)) return res.redirect('/'); // Success
res.render('auth', {
title: 'Register',
error: 'Something is wrong',
});
});
```
Tại dòng 38 khi router `register` được gọi thì sẽ nhận tham số từ `req.body` và đưa vào hàm `handleRegister` tại dòng 24 để xử lí.
Trong source code này, tác giả sử dụng lib của tác giả viết có tên là [@drstrain/database](https://github.com/phvietan/database).
Cụ thể khi vô source code của lib đọc thì thấy được đoạn code này có thể dùng được `__proto__` khi `namespace` rỗng.
Source: https://github.com/phvietan/database/blob/main/src/index.ts#L28-L30
<!--Tại dòng 26 của file `lib/auth.ts` mình đã để ở trên thì có sử dụng đến hàm `get` trong lib `@drstrain/database`. Vậy bây giờ trace ngược xem hàm này có nhận `namespace` vào hay không?-->
Dòng 21 ở hình dưới khai báo class `Database` với `namespace` rỗng.
=> Chúng ta có thể dùng `__proto__` như đã nói ở trên.
Request login với `username` là `_proto__`. Giá trị trả về là 1 `Object.__proto__`.
Vì `Object.__proto__` không tồn tại attribute `password` nên giá trị của `user.password` sẽ là `undefined`.
Gửi request không có tham số `password` sẽ làm cho biến `password` lấy từ `req.body` lúc này là `undefined`.
Sau khi qua được câu lệnh if, giá trị được lưu vào `sessionDatabase` sẽ là giá trị của `Object.__proto__`.
=> Lúc này `role` ở trong `req.user` là `undefined` nên có thể qua được đoạn middleware ban đầu để hiện thị flag.
## Exploit
1. Request login để lấy cookie.
2. Sử dụng cookie để truy cập vô trang chủ lấy flag.
Sign in with Wallet
Connect another wallet