Code-Breaking 2018 Thejs(代码审计)

已于 2022-02-07 22:44:58 修改
阅读量1.3k 收藏 1
点赞数 1
文章标签: json javascript node.js
于 2022-02-06 02:03:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53460654/article/details/122792861
版权

这篇我自己学习nodejs的博客是我为什么复现这道题的原因
http://blog.m1kael.cn/index.php/archives/27/

由于没找到环境,我这里只是为了学习这个知识点,所以找源码来分析一下
源码:https://github.com/phith0n/code-breaking/tree/master/2018/thejs

const fs = require('fs')
const express = require('express')
const bodyParser = require('body-parser')
const lodash = require('lodash')
const session = require('express-session')
const randomize = require('randomatic')

const app = express()
app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())
app.use('/static', express.static('static'))
app.use(session({
    name: 'thejs.session',
    secret: randomize('aA0', 16),
    resave: false,
    saveUninitialized: false
}))
app.engine('ejs', function (filePath, options, callback) { // define the template engine
    fs.readFile(filePath, (err, content) => {
        if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options})

        return callback(null, rendered)
    })
})
app.set('views', './views')
app.set('view engine', 'ejs')

app.all('/', (req, res) => {
    let data = req.session.data || {language: [], category: []}
    if (req.method == 'POST') {
        data = lodash.merge(data, req.body)
        req.session.data = data
    }
    
    res.render('index', {
        language: data.language, 
        category: data.category
    })
})

app.listen(3000, () => console.log(`Example app listening on port 3000!`))

重要代码在这两块地方

 if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options}

)

if (req.method == 'POST') {
        data = lodash.merge(data, req.body)
        req.session.data = data
    }

问题出在了lodashs.merge函数这里,这个函数存在原型链污染漏洞,会直接将注入原型的属性的值写去最底层的object。我们需要找到可以利用的点。因为通过漏洞可以控制某一种实例对象原型的属性,所以我们需要去寻找一个可以被利用的属性。
我们来看看这个函数
https://github.com/lodash/lodash/blob/a039483886093788e7021131a9cba6ffc53f45ec/lodash.template/index.js
在这里插入图片描述
在这里插入图片描述
发现这里能进行污利用
可以看到options是一个对象,sourceURL是通过赋值的,options默认没有sourceURL属性,所以sourceURL默认也是为空。如果我们能够给options的原型对象加一个sourceURL属性,那么我们就可以控制sourceURL的值。
在这里插入图片描述
这个地方我们通过构造chile_process.exec()就可以执行任意代码了。
但是由于Function 环境下没有 require 函数,直接使用require(‘child_process’) 会报错,所以我们要用 global.process.mainModule.constructor._load 来代替。
还有p神的做法,用循环来绕过

{"__proto__" : {"sourceURL" : "\r\nreturn e = () => {for (var a in {}){delete Object.prototype[a];}return global.require('child_process').execSync('whoami').to

由于懒得搭环境,所以借一下大佬的图更加直观一点
注意下content-type要改成application/json

在这里插入图片描述
有的师傅是数据外带的:https://paper.seebug.org/755/#js
有时间我自己搭环境试试
希望这篇文章能帮助你!
参考链接

M1kael
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
原型链污染以及Code-Breaking 2018 Thejs复现
xk2844600795的博客
08-03 277
JavaScript发展历史上,很少有真正的私有属性,类的所有属性都允许被公开的访问和修改,包括proto,构造函数和原型。攻击者可以通过注入其他值来覆盖或污染这些proto,构造函数和原型属性。然后,所有继承了被污染原型的对象都会受到影响。原型链污染通常会导致拒绝服务、篡改程序执行流程、导致远程执行代码等漏洞。以下是一个简单的原型链污染的代码,可以方便我们理解我们调试一下这段js代码。
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1140
nodejs原型链污染原理及利用
JavaScript审计
richard1230的博客
03-22 9077
前言 Javascript (.js) 文件一般存储的是客户端代码,Javascript 文件可帮助网站执行某些功能,例如监视单击某个按钮的时间,或者当用户将鼠标移到图像上,甚至代表用户发出请求(例如检索信息)时。有时开发人员可以混淆他们的 javascript 代码,使人无法正常阅读,但是大多数类型的混淆是可以反混淆的;如果你是一个漏洞赏金猎人,你应该花一些时间从中寻找宝藏。如果运气好,可能会发现严重程度较高的漏洞。怎么找js 第一种方法为手动找: 右键单击所在的页面并单击“查看源代码”(,然后开始在 H
代码审计 JavaScript代码理解.
网络安全领域___专研者.
04-20 3321
JavaScript 概括: JavaScript(简称 "JS")是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。虽然它是作为 开发Web页面的脚本语言而出名,但是它也被用到了很多非浏览器环境中,JavaScript基于原型编程、多范式的动态脚本语言,并且支持面向对象、命令式、声明式、函数式编程范式.
WEB攻防-JS审计技巧
qq_29948489的博客
07-10 259
1、作用域:(本地&全局)简单来说就是运行后相关的数据值2、调用堆栈:(由下到上)简单来说就是代码的执行逻辑顺序3、常见分析调试:-代码全局搜索-文件流程断点-代码标签断点-XHR提交断点edgefirefox4、为什么要学这个?-针对JS开发应用-密码登录枚举爆破-参数提交漏洞检测-泄漏URL有更多测试js加密,发到服务器,然后进行相关的解密,在处理数据。服务器收到的不是加密内容,直接就不执行了。所以要找到对应的JS加密。
PHP-code-audit代码审计源码
01-02
php code audit for cms vulnerabilities / 代码审计,对一些大型cms漏洞的复现研究,更新源码和漏洞exp
react-code-blocks:React代码块和代码片段组件
05-01
欢迎使用react-code-blocks :waving_hand: :waving_hand: :waving_hand: React组件用于通过语法高亮显示代码段VERSION >= 0.0.8-alpha变化: VERSION >= 0.0.8-alpha现在需要一个nodejs版本> = 12 道具复制块道具...
react-code-preview:React的代码编辑预览
04-12
npm install @uiw/react-code-preview --save 用法 import React from 'react' ; import { Button } from 'uiw' ; import CodePreview from '@uiw/react-code-preview' ; const code = `import { Button, Divider, ...
code-coverage-api-plugin:Jenkins代码覆盖率API插件
05-02
特征管道支持现代化的覆盖率表覆盖趋势源代码导航管道支持中的并行执行报告合并REST API 故障条件和灵活的阈值设置其他小功能支持的覆盖率格式嵌入式的其他插件,作为Code Coverage API插件的扩展 ( ) ( ) ( )...
vue-code-generate:代码生成工具
05-26
工具使用场景vue + element-ui + 不想写重复的组件代码结合vscode插件 TODO Highlight使用 效果更加,会高亮需要插入业务代码的区域使用方法cd ${项目目录}选择生成方式代码片段文件地址输入要生成的文件地址:${...
Python-Pylava是一个用于Python和JavaScript代码审计工具
08-11
Pylava是一个用于Python和JavaScript代码审计工具
一次小破站JS代码审计出XSS漏洞思路学习
ElsonHY的博客
03-22 1519
一种挖掘xss的思路
小迪安全22WEB 攻防-JS 项目&Node.JS 框架安全&识别审计&验证绕过
最新发布
weixin_73760178的博客
01-25 1321
此页面中就找到了忘记密码中的验证数据包的代码,从中可以知道当状态码为200时,可以进入验证成功,之后进入重置密码的界面(这里并没有对其进行验证/user/reset_password/)JS是本地上传,也就是图片通过本地的限制文件之后再发送出去,我们这时抓的包是它本地走过以后的数据包;注:这里无法使用之前学过的浏览器设置禁用JS的方法,因为他网站本身就是以JS搭建的,如果禁用了,就会连网站都打不开。注:这里是修改实际上是对前端的修改,然而对这个应用的数据库并没有进行修改,所以最后是修改失败的。
原型链污染 --- Code-Breaking 2018
m0_63069714的博客
03-14 141
我们知道,row,col,data都是可控的,所以我们可以给row传递__proto__,col传递"admintoken",data传递"sunsec"。而我们的usr是一个空对象,此时usr会继承原型链的Object.admintoken,因此usr.admintoken = sunsec。这道题获取flag的条件是传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。也就是下面这段代码。data,row,col,都是我们post传入的值,都是可控的。
DVWA —— JavaScript Attacks JS 攻击
YouTheFreedom的博客
05-27 670
客户端访问服务器获得 JavaScript,并在本地浏览器执行,于是我们就有了源码。我们可以通过代码审计,逆向分析来挖掘 JS 中可能存在的漏洞,实现 JS 攻击。JavaScript 逆向分析指的是对JavaScript代码进行分析和研究,以了解其实际功能、逻辑和执行过程。逆向分析可以帮助开发人员更好地理解和调试代码,也可以帮助安全人员发现潜在的漏洞和攻击路径。
【攻防世界】九 --- NaNNaNNaNNaN-Batman---js代码审计
qq_43168364的博客
12-23 269
题目 — NaNNaNNaNNaN-Batman 一、writeup 给了一个文件,用sublime打开 这个文件甚是混乱,整理之后可得以下内容 <script> _='function $(){e=getEleById("c").value;length==16^be0f23233ace98aa$c7be9){tfls_aie}na_h0lnrg{e_0iit\'_ns=[t,n,r,i];for(o=0;o<13;++o){
代码审计学习.CodeBreaking.easy-function
qq_20643933的博客
11-15 92
代码审计学习.Code-Breaking Puzzles.easy-function
代码审计Code-Breaking Puzzles学习记录
酉酉的博客
12-12 765
文章目录前言easy - functionpayloadeasy - pcrewafpayloadeasy - phpmagicpayloadeasy - phplimitpayload 前言 Code-Breaking Puzzles是一场完全开放源代码的Web解密游戏,其包含但不限于PHP、Java、Node.js、Python等语言的代码审计知识。 p师傅的知识星球真是干货多多,刚刚加入就...
JS的Session操作(八)
热门推荐
两个蝴蝶飞
01-28 3万+
在Java服务器端,有Session和Cookie的概念,在JS端,也有相对应的Session和Cookie的概念。 JS的Cookie,可以利用cookie.js来完成相应的操作。 具体可以看 Cookie.js实现保存用户名和密码操作(一) 一章。 session时使用sessionStorage . Storage表示存储的意思。 一. 设置值 sessionStorage.setItem...
vue-codemirror xml代码提示
10-20
根据提供的引用内容,可以看出vue-codemirror是一个Vue.js的代码编辑器组件。它支持多种语言的代码高亮和代码提示功能,其中包括XML语言。如果你需要在vue-codemirror中使用XML代码提示,你需要在引入组件的时候,同时引入相应的插件和主题。具体的步骤如下: 1. 在main.js中使用import { codemirror } from 'vue-codemirror' import 'codemirror/lib/codemirror.css' Vue.use(codemirror)引入vue-codemirror组件。 2. 在template中使用组件<codemirror v-model="content" :options="cmOptions" @changes="changes"></codemirror>。 3. 在自己需要使用到的页面引入import { codemirror } from 'vue-codemirror' import 'codemirror/theme/material.css' // 引入控制主题,没有的话主题不起效果 require("codemirror/mode/python/python.js") require('codemirror/addon/fold/foldcode.js') require('codemirror/addon/fold/foldgutter.js') require('codemirror/addon/fold/brace-fold.js') require('codemirror/addon/fold/xml-fold.js') require('codemirror/addon/fold/indent-fold.js') require('codemirror/addon/fold/markdown-fold.js') require('codemirror/addon/fold/comment-fold.js')引入XML代码提示所需的插件和主题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M1kael

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值