我正在解决一个具有挑战性的ctf问题,其中标志位于nodejs服务器的process.env中。我可以访问服务器的源代码(bcs他们由express.static公开)。那么无论如何要访问客户端nodejs的process.env?在客户端访问NodeJS process.env
-1
A
回答
1
有一个误解。 express.static
,不会给你访问服务器的Javascript代码。相反,它允许您在服务器和客户端使用选定的代码。
这使您可以共享双方的代码,但它永远不会允许您在服务器上下文中执行客户端上的代码。
这意味着,您将无法在客户端执行服务器特定的代码,如process.env
。
你有两种基本的选择,以获得在客户端访问该标志:
- 你写的标志进入网页的标记
- 你做一个Ajax请求,响应服务器与此信息。
+0
是的,我知道express.static只是将公共数据从服务器共享到客户端。所以我想知道服务器nodejs在哪里分配process.env ['flag']?在源代码中,有一行“if(win)console.log(process.env.flag)” –
+0
您错过了非常基本的东西:浏览器与节点不同。在浏览器中,您有一个窗口,一个文档和一个导航器对象,但它们不存在于节点中。在节点中,你有一个进程和一个http对象,但你没有在浏览器中。 –
相关问题
- 1. Nodejs客户端IP
- 2. NodeJS客户端OnBeforeUnload
- 3. 客户端CAPI访问
- 4. 仅客户端Dropbox访问
- 5. ActiveMQ STOMP客户端访问
- 6. NodeJS - 可从客户端和节点访问的不同文件
- 7. 使用nodejs客户端访问golang websocket服务器
- 8. 在django测试客户端访问raw_post_data
- 9. NodeJS TCP客户端通讯
- 10. tcp客户端与socket.io(nodejs)
- 11. NodeJS api - 客户端的“net”
- 12. 访问用户角色客户端
- 13. 客户端ID和客户端访问foursquare API的秘密
- 14. Silverlight客户端访问策略问题
- 15. 基于UDP的客户端在Nodejs
- 16. 在NodeJS中创建HTTPS客户端
- 17. 的NodeJS:客户端到客户端通过服务器
- 18. 使用nodejs的客户端 - 客户端通信
- 19. 在web api客户端访问令牌客户端IdSrv3身份验证
- 20. IdentityServer3 - 验证客户端访问
- 21. java访问客户端文件系统
- 22. 远程文件访问客户端
- 23. Java客户端访问.net WCF服务
- 24. Facebook客户端永久访问令牌
- 25. Ruby客户端访问Ebay API
- 26. 使用JavaScript访问客户端的MongoDB
- 27. 从C#Windows客户端访问Facebook
- 28. Sharepoint 2007客户端访问文件
- 29. 无客户端访问YouTube API_Secret
- 30. 客户端如何访问DataNode
除非应用程序以某种方式暴露它(例如在某些API调用的响应中),或者您可以通过其他漏洞攻击进入服务器。 – Paul
听起来像您只能访问正在提供的客户端源代码,而不是服务器的实际源代码? – bitstrider
我可以访问服务器的所有源代码。我甚至重建了我的本地服务器。但他们在process.env中存储标志,所以我不能重构此变量。 –