原型链污染例题

最新推荐文章于 2024-11-05 00:19:49 发布
最新推荐文章于 2024-11-05 00:19:49 发布
阅读量69 收藏
点赞数
文章标签: 原型模式 javascript 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54986292/article/details/132068755
版权

目录

首先介绍一下原型链

JS中prototype__proto__分别是什么?

我们可以认为原型prototype是类Foo的一个属性,而所有用Foo类实例化的对象,都将拥有这个属性中的所有内容,包括变量和方法。
我们可以通过Foo.prototype来访问Foo类的原型,但Foo实例化出来的对象,是不能通过prototype访问原型的。这时候,就该__proto__登场了。

一个Foo类实例化出来的foo对象,可以通过foo.__proto__属性来访问Foo类的原型,也就是说:

foo.__proto__ == Foo.prototype

总结一下:

  1. prototype是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法
  2. 一个对象的__proto__属性,指向这个对象所在的类的prototype属性

JavaScript原型链继承

所有类对象在实例化的时候将会拥有prototype中的属性和方法,这个特性被用来实现JavaScript中的继承机制。

比如:

function Father() {
    this.first_name = 'Donald'
    this.last_name = 'Trump'
}

function Son() {
    this.first_name = 'Melania'
}

Son.prototype = new Father()

let son = new Son()
console.log(`Name: ${son.first_name} ${son.last_name}`)

Son类继承了Father类的last_name属性,最后输出的是Name: Melania Trump

总结一下,对于对象son,在调用son.last_name的时候,实际上JavaScript引擎会进行如下操作:

  1. 在对象son中寻找last_name
  2. 如果找不到,则在son.__proto__中寻找last_name
  3. 如果仍然找不到,则继续在son.__proto__.__proto__中寻找last_name
  4. 依次寻找,直到找到null结束。比如,Object.prototype__proto__就是null

哪些情况下可以用原型链污染

在实际应用中,哪些情况下可能存在原型链能被攻击者修改的情况呢?

我们思考一下,哪些情况下我们可以设置__proto__的值呢?其实找找能够控制数组(对象)的“键名”的操作即可:

  • 对象merge 结合 拼接
  • 对象clone(其实内核就是将待操作的对象merge到一个空对象中) 复制

以对象merge为例,我们想象一个简单的merge函数:

function merge(target, source) {
    for (let key in source) {
        if (key in source && key in target) {
            merge(target[key], source[key])
        } else {
            target[key] = source[key]
        }
    }
}

在合并的过程中,存在赋值的操作target[key] = source[key],那么,这个key如果是__proto__,就可以原型链污染
我们用如下代码实验一下:

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

结果是,合并虽然成功了,但原型链没有被污染:
在这里插入图片描述
这是因为,我们用JavaScript创建o2的过程(let o2 = {a: 1, "__proto__": {b: 2}})中,__proto__已经代表o2的原型了,此时遍历o2的所有键名,你拿到的是[a, b]__proto__并不是一个key,自然也不会修改Object的原型。

那么,如何让__proto__被认为是一个键名呢?

我们将代码改成如下:

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)

o3 = {}
console.log(o3.b)

可见,新建的o3对象,也存在b属性,说明Object已经被污染
这是因为,JSON解析的情况下,__proto__会被认为是一个真正的“键名”,而不代表“原型”,所以在遍历o2的时候会存在这个键。

merge操作是最常见可能控制键名的操作,也最能被原型链攻击,很多常见的库都存在这个问题。

例题

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

首先分析一下代码
获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。

由代码可知,全文没有对user.admintokn 进行赋值,所以理论上这个值时不存在的,但是下面有一句赋值语句:

matrix[client.row][client.col] = client.data

data,row,col,都是我们post传入的值,都是可控的,所以可以构造原型链污染。

因此可以定义两个变量,
一个变量用于传入data,row,col,使原本没有的admintoken通过原型链污染来使admintoken存在
另一个变量用于get传入url中使admintoken与md5值匹配
在传值的时候注意用json,否则__proto__不会被识别成对象而是一个字符
在这里插入图片描述
这样就用原型链污染成功夺旗

ZWinn0w
关注
原型链污染例题复现
weixin_57549548的博客
08-04 726
在mess.js中我们声明了一个数组secret,然后该数组调用了属于的foreach方法,如下但是,在调用js文件之前,js代码中将方法进行了重写,而prototype链为,secret中无 foreach 方法,所以就会向上检索,就找到了而其foreach方法已经被重写过了,所以会执行输出。这就是原型链污染。在我们想要利用的代码之前的赋值语句如果可控的话,我们进行 ——__proto__ 赋值,之后就可以利用代码了。
JavaScript另外一道原型链污染例题
banliyaoguai的博客
08-23 483
然后我们尝试传入一个数值(传入如下面代码),触发clone然后触发merge,尝试进行一个原型链污染,但是测试结果是无法进行污染,admin这个对象还是未定义,原因是在我们在创建字典的时候已经作为__proto__给test赋值了,所以test.__proto__中是有admin属性了。那么我们如何达到我们的目的,那就想办法让__proto__被认为是一个键名,我们可以使用下面代码,我们在下面子代码中使用JSON.parse解析代码,这样在下面代码中__proto__就会被认为是一个键名。
Nodejs原型链污染
apple_74953689的博客
07-28 375
在攻防世界和CTF比赛中见过几道Nodejs原型链污染的题目,发现这是一个常考点,不得不整理了。首先解释一下原型链
一道简单的JavaScript原型链污染例题:hackit 2018
banliyaoguai的博客
08-20 832
任何对象都有prototype属性,这个属性就是实例对象的原型对象,然后原型对象上如果添加一个属性,所有实例都会共享这个属性。比如object的tostring方法。这个原型对象的属性绑定在构造函数上,且当实例对象有某个属性或方法就不会再去原型对象找这个方法或属性。然后__proto__可以指向当前对象的原型对象。我们对__proto__赋值就可以修改原型对象的值。
复现原型链污染
weixin_64623293的博客
08-07 393
是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性对于对象son,在调用。
nodejs——原型链污染
m0_73756016的博客
06-12 1099
参考滑动验证页面。
【CTF】Python原型链污染
Luminous_song的博客
08-05 1555
在Python中每个对象都有一个原型,原型上定义了对象可以访问的属性和方法。当对象访问属性或方法时,会先在自身查找,如果找不到就会去原型链上的上级对象中查找,原型链污染攻击的思路是通过修改对象原型链中的属性,使得程序在访问属性或方法时得到不符合预期的结果。
js原型链污染
m0_73973498的博客
11-13 161
需要纠正的是,o2和o1对象的层级本身是没有__proto__属性的,只有__prototype__,我们平常通过.__proto__调用都是向上寻找到Object.prototype,调用其中的__proto__属性,因为__proto__属性通过Getter动态获取__proto__的值的,所以不同层级的对象调用Object.prototype中的__proto__属性得到的值是不同的。这是merge函数造成的原型链污染,类似的还有clone函数,本质是找到能够控制数组(对象)的“键名”的操作。
原型链污染攻击
qq_68163788的博客
11-09 2219
JavaScript 中,每个对象都有一个 __proto__ 属性,它指向该对象的原型对象。原型对象是一个普通的 JavaScript 对象,它包含了一些属性和方法,可以被该对象所继承。当我们访问一个对象的属性或方法时,如果该对象本身没有这个属性或方法,JavaScript 引擎会沿着该对象的原型链向上查找,直到找到该属性或方法或者到达原型链的顶端为止。 而 prototype 是函数对象特有的属性,它指向该函数的原型对象。原型污染是指攻击者通过修改目标对象的原型对象从而影响到该对象及其所有实例的行为
JavaScript应用程序经典实例配套例题
07-12
3. **对象与原型链**:了解JavaScript的对象创建方式,原型和原型链的工作原理,以及如何使用构造函数和类来创建复杂的数据结构。 4. **DOM操作**:学习如何通过JavaScript操作文档对象模型(DOM),添加、删除和...
面经 | JS
YuuuPeeiiiii的博客
09-24 708
什么是闭包?函数+函数访问的变量。特点是可以访问函数外面的变量;其实debounce本质上返回的是一个函数定义,也就是下面的d函数,显然,d函数访问了d函数外的timer,那么d函数和timer构成了闭包。这也是实现防抖的关键。timer变量,只要有函数引用,就不会消失。五次抖动中(循环),每次循环,都返回了debounce的d函数,我们可以对应成d1,d2,d3,d4,d5;实际上di都访问了timer,然后,di+1会清除掉di创建的timer,并且将timer指向新的timer,其实也就是覆盖。
JS部分学习笔记
qq_35260061的博客
04-28 1121
JavaScript ECMAScript NaN不等于任何东西,包括自己。 JS数据类型 (原始值和引用值)其中原始值包括:number, string, boolean, undefined, null,引用值包括:array, object, function 逻辑运算符:&& || ! 1、&&(与):先看第一表达式转换成布尔值的结果,如果结果为真,那么会看第二个表达式转换为布尔值的结果,然后如果两个表达式的化,只看到第二个表达式,就可以返回该表达式的值了。以此
JavaScript + ES6】前端八股文面试题
Una的博客
08-27 1472
提供的方法仅供参考哈,有更好的想法,可以评论交流。 持续更新当中...
前端面试宝典
weixin_68266620的博客
09-15 5068
跨域是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。什么是同源策略呢?同源策略是浏览器最核心也是最基本的安全功能,它是由Netscape提出的一个著名的安全策略。现在所有支持JavaScript的浏览器都会只用这个策略,所谓同源是指:域名,协议,端口相同,有一个不一样就是非同源策略1、Cookie、LocalStorage 和 IndexDB 无法读取2、DOM 和 Js对象无法获得3、AJAX 请求不能发送。
Java学习路线:JUL日志系统(一)日志框架介绍
LUwantAC的博客
11-01 988
首先,为什么要使用日志系统?如果单纯地用System.out.println打印信息,如果项目比较大,存在大量的信息就会显得非常凌乱。而且,当我们希望在debug的时候打印某些信息,而运行的时候不打印,使用直接输出的方法就行不通了。因此,我们需要使用日志框架来规范日志的输出。
【设计模式系列】原型模式(十一)
LHW0621的专栏
11-02 859
原型模式(Prototype Pattern)是一种创建型设计模式,它使得一个对象可以复制自身,从而创建一个与自己属性一致的新对象,而无需知晓对象创建的细节。(例如,涉及复杂的初始化过程)。
JavaScript 中,`Array.prototype.filter` 方法用于创建一个新数组,该数组包含通过测试的所有元素
小丁的博客
11-02 633
filter方法的作用是根据多个条件(在这个例子中是和)从原始数组中筛选出符合条件的元素,并返回一个新的数组。这样,你就可以确保只有status为1且editAuth为1的商品才会被展示在前端。
Array.prototype.map()的用法和手写
z142536x的博客
11-05 214
JavaScript 中数组的原型方法之一,用于对数组中的每个元素执行指定的操作,并返回操作结果组成的新数组。方法常用于对数组中的元素进行转换、映射或处理,并生成一个新的数组,非常方便地实现了数据的转换和操作。数组中的每个元素都执行了一个函数,将每个元素的值加倍,并将结果存储在。
Array.prototype.push()的理解和手写
最新发布
z142536x的博客
11-05 199
在定义函数时没有声明参数,但是在调用函数时可以传入参数。在 JavaScript 中,函数可以接受任意数量的参数,即使在函数定义中没有显式声明参数也可以在调用时传入参数。方法可以接受任意数量的参数,并将它们依次添加到数组的末尾。如果传入的参数是数组,则整个数组作为一个元素添加到数组的末尾。方法用于向数组的末尾添加一个或多个元素,并返回修改后数组的新长度。对象访问传入的参数,并进行相应的处理。因此,即使在函数定义中没有声明参数,也可以在调用函数时传入参数。实际上它是当前函数的一个内置对象。
马尔科夫链matlab例题
08-18
马尔可夫链(Markov Chain)是一种数学模型,用于描述一个随机系统随时间变化的概率过程。在MATLAB中,我们可以使用`markovchain`函数来创建和操作马尔可夫链,并通过`simulate`函数来进行模拟。 例如,假设我们要...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值