-1
我正在解決一個具有挑戰性的ctf問題,其中標誌位於nodejs服務器的process.env中。我可以訪問服務器的源代碼(bcs他們由express.static公開)。那麼無論如何要訪問客戶端nodejs的process.env?在客戶端訪問NodeJS process.env
A
回答
1
有一個誤解。 express.static,不會給你訪問服務器的Javascript代碼。相反,它允許您在服務器和客戶端使用選定的代碼。
這使您可以共享雙方的代碼,但它永遠不會允許您在服務器上下文中執行客戶端上的代碼。
這意味着,您將無法在客戶端執行服務器特定的代碼,如process.env。
你有兩種基本的選擇,以獲得在客戶端訪問該標誌:
- 你寫的標誌進入網頁的標記
- 你做一個Ajax請求,響應服務器與此信息。
+0
是的,我知道express.static只是將公共數據從服務器共享到客戶端。所以我想知道服務器nodejs在哪裏分配process.env ['flag']?在源代碼中,有一行「if(win)console.log(process.env.flag)」 –
+0
您錯過了非常基本的東西:瀏覽器與節點不同。在瀏覽器中,您有一個窗口,一個文檔和一個導航器對象,但它們不存在於節點中。在節點中,你有一個進程和一個http對象,但你沒有在瀏覽器中。 –
相關問題
- 1. Nodejs客戶端IP
- 2. NodeJS客戶端OnBeforeUnload
- 3. 客戶端CAPI訪問
- 4. 僅客戶端Dropbox訪問
- 5. ActiveMQ STOMP客戶端訪問
- 6. NodeJS - 可從客戶端和節點訪問的不同文件
- 7. 使用nodejs客戶端訪問golang websocket服務器
- 8. 在django測試客戶端訪問raw_post_data
- 9. NodeJS TCP客戶端通訊
- 10. tcp客戶端與socket.io(nodejs)
- 11. NodeJS api - 客戶端的「net」
- 12. 訪問用戶角色客戶端
- 13. 客戶端ID和客戶端訪問foursquare API的祕密
- 14. Silverlight客戶端訪問策略問題
- 15. 基於UDP的客戶端在Nodejs
- 16. 在NodeJS中創建HTTPS客戶端
- 17. 的NodeJS:客戶端到客戶端通過服務器
- 18. 使用nodejs的客戶端 - 客戶端通信
- 19. 在web api客戶端訪問令牌客戶端IdSrv3身份驗證
- 20. IdentityServer3 - 驗證客戶端訪問
- 21. java訪問客戶端文件系統
- 22. 遠程文件訪問客戶端
- 23. Java客戶端訪問.net WCF服務
- 24. Facebook客戶端永久訪問令牌
- 25. Ruby客戶端訪問Ebay API
- 26. 使用JavaScript訪問客戶端的MongoDB
- 27. 從C#Windows客戶端訪問Facebook
- 28. Sharepoint 2007客戶端訪問文件
- 29. 無客戶端訪問YouTube API_Secret
- 30. 客戶端如何訪問DataNode
除非應用程序以某種方式暴露它(例如在某些API調用的響應中),或者您可以通過其他漏洞攻擊進入服務器。 – Paul
聽起來像您只能訪問正在提供的客戶端源代碼,而不是服務器的實際源代碼? – bitstrider
我可以訪問服務器的所有源代碼。我甚至重建了我的本地服務器。但他們在process.env中存儲標誌,所以我不能重構此變量。 –