为了保持手感,半夜打完游戏来挑个题做做😀,还是学到东西了。
鉴权有密钥,那说明不是这里的问题,从路由一路追踪,显然这里是我们的突破口,这里的db.migrate是将数据库恢复初始化,显然是不能让其进行到这一步的。
查阅一下文档,发现确实可以阻止初始化发生。
AuthMiddleware是jwt鉴权,这里的review对访问者的ip有校验,我们查阅一下资料看看express的req.ip是否可以伪造。
显然GG,仔细看一波路由。
我们观察到这个很有趣,他并没有鉴权,其次他是sendFile头像文件,而不是以图片的形式直接进行渲染,这里可能也是一个突破口,然后去看看机器人去review后会发生什么。
review里的参数其实都是我们可控的,但是只有content这里多了个safe,那么我们查阅一下文档。
link: https://nunjucks.bootcss.com/templating.html
隐隐的感觉脑子要长出来了,于是结合起来思考,应该是个xss的利用,重点就在于如何review里xss拿到cookie。