node.js原型链污染小结

已于 2022-08-20 10:02:49 修改
阅读量756 收藏 3
点赞数
文章标签: 大数据
于 2022-07-16 17:26:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61209261/article/details/125821976
版权

之前已经写到一些原型链污染的原理和原型链原理

这里再补充一些

1.利用:如何判断是否存在原型链污染?

·字符串可以被解析为对象或方法。例如:Json.parse进行解析、shvl库使用点对属性操作。

·对象的键和值都可控。target[key]=value,其中value和key均可控制。

常见有用merge方法

这里就不再赘述了

实例1:在antCTF中,使用shvl库对键值进行操作

email: async function (req, res) {
    let contents = {};

    // 遍历请求参数中所有的 key
    // 将键和值赋值为 contents(shvl 库的 set 函数)
    Object.keys(req.body).forEach((key) => {
      shvl.set(contents, key, req.body[key]);
    });

    contents.from = '"admin" <admin@8-bit.pub>';

    try {
      await send(contents);
      return res.json({
        message: "Success."
      });
    } catch (err) {
      return res.status(500).json({
        message: err.message
      });
    }
  }

 2.常见的原型链污染方法有哪些?

function.__proto__polluted

function.prototype.polluted

obj.__proto__.polluted.例如:shvl只禁用了__proto__

obj.constructor.polluted

前端的有extend

Lodash 模块原型链污染

lodash.defaultsDeep

lodash.merge

lodash.mergeWith

lodash.setWith

lodash.template

function person(fullName) {
    this.fullName = fullName;
}
var person1 = new person("Satoshi");
// function:prototype, __prototype
person.prototype.sayHello = 1
console.log(person1.__proto__);
person.prototype.newConstant = 2
console.log(person1.__proto__); 

// object: __prototype__, constructor
person1.__proto__.sayHi= 3
console.log(person1.__proto__);
person1.constructor.prototype.oldConstant = 4
console.log(person1.__proto__);
/*
person { sayHello: 1 }
person { sayHello: 1, newConstant: 2 }
person { sayHello: 1, newConstant: 2, sayHi: 3 }
person { sayHello: 1, newConstant: 2, sayHi: 3, oldConstant: 4 }
*/

 3.原型链怎么挖掘?

1.寻找JavaScript中的危险关键字(危险函数)。如:

        ·模块:child_process

        ·函数:eval,spwn,exec,setTimeout,setInteval,Function

2.寻找调用关系和可控的参数,并且确定如何进行传参

        先确定危险函数和调用方式,就是头部和尾部,再去找中间过程看具体的使用

 3.充分利用危险函数和能控制的参数.(读取文件或者反弹shell)

        `目标机器环境如果有bash可以反弹shell

        `目标机器环境如果有Python等,可以反弹shell

        `目标机器环境如果只有sh,将readflag执行写入到其他地方,再利用其他方式读取.

4.如何防御原型链污染?如何绕过防御?

        如果系统中有键值的操作,并且健和值来自外部输入,可以考虑进行过滤:

                `禁止操作constructor

                `禁止操作prototype

                `禁止操作__proto__

        绕过防御:

                `思考测试是否过滤完全,参考antCTF的8-bit-pub中的shvl库绕过

 最后

补充一下之前没有提到的

prototype是[方法特有的](大概了解一下)

        `方法:类似C++中的类.除了有属性__proto__,还有属性prototype,prototype指向该方法的原型对象.prototype指定其他对象之后,会包含所有原型对象的属性和方法

        `对象:类似C++中的对象.对象只有属性__proto__指向该对象的构造函数的原型对象.对象有constructor里面包含该类的prototype.

// 让我们从一个函数里创建一个对象o,它自身拥有属性a和b的:
let f = function () {
   this.a = 1;
   this.b = 2;
}
/* 这么写也一样
function f() {
  this.a = 1;
  this.b = 2;
}
*/
let o = new f(); // {a: 1, b: 2}

// 在f函数的原型上定义属性
f.prototype.b = 3;
f.prototype.c = 4;

// 不要在 f 函数的原型上直接定义 f.prototype = {b:3,c:4};这样会直接打破原型链
// o.[[Prototype]] 有属性 b 和 c
//  (其实就是 o.__proto__ 或者 o.constructor.prototype)
// o.[[Prototype]].[[Prototype]] 是 Object.prototype.
// 最后o.[[Prototype]].[[Prototype]].[[Prototype]]是null
// 这就是原型链的末尾,即 null,
// 根据定义,null 就是没有 [[Prototype]]。

// 综上,整个原型链如下:

// {a:1, b:2} ---> {b:3, c:4} ---> Object.prototype---> null

console.log(o.a); // 1
// a是o的自身属性吗?是的,该属性的值为 1

console.log(o.b); // 2
// b是o的自身属性吗?是的,该属性的值为 2
// 原型上也有一个'b'属性,但是它不会被访问到。
// 这种情况被称为"属性遮蔽 (property shadowing)"

console.log(o.c); // 4
// c是o的自身属性吗?不是,需要看它的原型上有没有
// c是o.[[Prototype]]的属性吗?是的,该属性的值为 4

console.log(o.d); // undefined
// d 是 o 的自身属性吗?不是,需要看它的原型上有没有
// d 是 o.[[Prototype]] 的属性吗?不是,需要看它的原型上有没有
// o.[[Prototype]].[[Prototype]] 为 null,停止搜索
// 找不到 d 属性,返回 undefined

 0x01__proto__属性有什么用?

每个'对象'都有__proto__属性,指向了创建该对象的构造函数的原型.其实这个属性指向了[[prototype]],但是[[prototype]]是内部属性,我们并不能访问到,所以使用__proto__来访问.

简单来说:用prototype无法直接访问,需要使用__proto__访问.prototype是一个指针属性.

注意:

        `__proto__:指向原型对象的构造器.

         `constructor:指向当前对象的构造器

 

                                        __proto__箭头指向原型对象的构造器 

 

                                                 constructor箭头指向原型对象的构造器 

好了 开摆!

怪小生失了神
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Nodejs原型链污染
发果叁
03-31 270
有一些人在学习JavaScript时会分不清Nodejs和JavaScript之间的区别,如果没有node,那么我们的JavaScript代码则由浏览器的JavaScript解析器进行解析。几乎所有的浏览器都配备了JavaScript的解析功能(最出名的就是google的v8), 这也是为什么我们能在f12直接执行JavaScript的原因。而Nodejs则是由这个解析器单独从浏览器拿出来,并进行了一系列的处理,最后成为了一个可以在服务端运行JavaScript的环境。
nodejs原型链污染
yink12138的博客
01-10 3311
nodejs原型链污染
2024年最新安全基础 --- 原型链污染
2401_84302722的博客
05-03 565
如果攻击者控制并修改了一个对象的原型,那将可以影响所有和这个对象来自同一个类、父类的对象,这种攻击方式就是原型链污染
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1134
nodejs原型链污染原理及利用
nodejs原型链污染基础
qq_63928796的博客
02-06 707
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019年初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
JS原型之属性设置和屏蔽,你能想到吗?
热爱前端的大三在校生
10-22 331
如果属性名foo既出现在my0bject也出现在my0bject的[[Prototype]]链上层,那么就会发生屏蔽。my0bject包含的foo属性会屏蔽原型链上层的所有foo属性,因为myObject.foo总是会选择原型链最底层的foo属性
node.js基础知识小结
12-23
javascript之前一般用于web前段开发,然而由于node.js的出现,用javascript开发后端程序也不再是一件复杂的事情。node.jsjs引擎来自于chrome v8浏览器,配合node.js额外开发的工具代码,本身使用起来非常容易,也...
基于Javascript的express-referer防盗链Node.js设计源码
最新发布
05-23
express-referer是一个基于Javascript开发的防盗链Node.js项目,包含520个文件,其包括170个JavaScript文件、127个Markdown文件、87个JSON文件、19个TypeScript文件、17个ESLint配置文件、17个YAML文件、12个NYCrc...
Node.js程序的本地文件操作用法小结
10-22
主要介绍了Node.js程序的本地文件操作用法小结,作为运行在服务器端的JavaScript解释器,Node自然拥有操作本地文件的方法,需要的朋友可以参考下
Node.js框架1
08-08
Node.js 是一个基于 Chrome V8 引擎的 JavaScript 运行环境,它允许开发者使用 JavaScript 编写服务器端程序。由于 JavaScript 在前端开发的广泛使用,Node.js 的出现使得前端开发者能够无缝地进行全栈开发,无需...
Node.js英文书籍2015出版共9本(一次下载)
12-20
Full Stack Javascript - Learn Backbone.js, Node.js and MongoDB (APress 2015).epub Learning Node.js for Mobile Application Development (Packt 2015).pdf Microsoft Press Node.js for .NET Developers (2015...
JavaScript原型——属性设置和屏蔽
弱智de克星
10-24 788
给一个对象设置属性,这是对象的知识点,但是由于涉及到了原型链,就放在原型里了。 预备知识Getter和Settergetter和setter都是隐藏函数,getter会在获取属性值时调用,setter会在设置属性值时调用。 当你给一个属性定义getter、setter或者两者都有,那这个属性就被定义为"访问描述符"。 对于访问描述符,JavaScript会忽略它们的value和writable特性,
NodeJS ——原型链原型链继承
garygy
11-29 1347
原型链原型链继承 我觉得人本能的抗拒未知的事物。 既然原型链是链式结构,那我们首先来看它的链节点。 首先函数独有的属性 prototype 指向 原型对象 其次实例化对象独有的属性__proto__指向 原型对象 原型对象的contructor属性 指向 构造函数 然后我们来看一个demo 然后我们看图 ...
【web安全】Nodejs原型链污染分析
「 虚幻私塾」
02-14 677
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
【网络安全系列】JavaScript原型链污染攻击总结
读万卷书,行万里路。
03-13 1760
文章目录0 前言1 原理2 利用 0 前言 原型链污染,是 NodeJs 常见的漏洞,在做 antCTF 时也遇到的原型链污染题目,在此记录自己学习原型链污染的过程。 1 原理 0x01 问:原型链有什么作用? 用来做继承,也就是基于原有的代码做一定的修改。下面是一个使用原型链实现继承的案例: function Parent () { this.name = 'kevin'; } Parent.prototype.getName = function () { console.log(t
node.js 原型污染攻击的分析与利用
whatday的专栏
08-09 588
目录 简介 javaScript的对象 constructor是什么? javaScript的原型 原型污染 Merge()为什么不安全? 简介 原型污染攻击, 如名所示, 是通过污染一个基础对象的原型来引发RCE。Olivier Arteau 完成了此项研究,并在NorthSec 2018介绍了它的发生过程。让我们用Nullcon HackIm 2019 challengeproton来深入地了解一下它的触发过程。 javaScript的对象 javaScript的对象其
JavaScript原型链污染攻击
BerL1n
07-18 7167
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
Node.js开发-Node.js入门.pdf
01-08
Node.js是一种开源的、跨平台的JavaScript运行环境,它允许开发者使用JavaScript进行服务器端编程。Node.js的核心特性在于它基于Google Chrome的V8 JavaScript引擎,这个引擎提供了高效快速的JavaScript执行能力。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值