Nodejs-原型鏈汙染
原型鏈汙染
javascript 原型鏈
在javascript中,繼承的整個過程就稱為該類的原型鏈。
每個物件的都有一個指向他的原型(prototype)的內部連結,這個原型物件又有它自己的原型,一直到null為止。
在javascript中一切皆物件,因為所有的變數,函式,陣列,物件 都始於object的原型即object.prototype,但只有類有物件,物件沒有,物件有的是__proto__。
like:
日期時:
f -> Data.prototype -> object.prototype->null
函式時:
d -> function.prototype -> object.prototype->null
陣列時:
c -> array.prototype -> object.prototype->null
類時:
b -> a.prototype -> object.prototype->null
當要使用或輸出一個變數時:首先會在本層中搜索相應的變數,如果不存在的話,就會向上搜尋,即在自己的父類中搜索,當父類中也沒有時,就會向祖父類搜尋,直到指向null,如果此時還沒有搜尋到,就會返回 undefined。
原型鏈汙染就是:在我們想要利用的程式碼之前的賦值語句如果可控的話,我們進行 ——__proto__ 賦值,之後就可以利用程式碼了。
原型鏈汙染一般會出現在物件、或陣列的鍵名或屬性名可控,而且是賦值語句的情況下。
例一:
var mds = [];
for (var i=0;i<3;i++){
mds[i]=[null,null,null];
}
Array(3) [ null, null, null ]
var row="__proto__"
undefined
var co="admin"
undefined
mds[row][co]="sunsec"
"sunsec"
var c=[]
undefined
c[co]
"sunsec"
這裡我們建立了兩個陣列,一個是mds,另一個是c,此時我們將mds的mds.__proto__
題一:
const express = require('express') //關於require,require是一個函式
var hbs = require('hbs');
var bodyParser = require('body-parser');
const md5 = require('md5');
var morganBody = require('morgan-body');
const app = express();
var user = []; //empty for now
var matrix = [];
for (var i = 0; i < 3; i++){
matrix[i] = [null , null, null];
}
function draw(mat) {
var count = 0;
for (var i = 0; i < 3; i++){
for (var j = 0; j < 3; j++){
if (matrix[i][j] !== null){
count += 1;
}
}
}
return count === 9;
}
app.use(express.static('public'));
app.use(bodyParser.json());
app.set('view engine', 'html');
morganBody(app);
app.engine('html', require('hbs').__express);
app.get('/', (req, res) => {
for (var i = 0; i < 3; i++){
matrix[i] = [null , null, null];
}
res.render('index');
})
app.get('/admin', (req, res) => {
/*this is under development I guess ??*/
console.log(user.admintoken);
if(user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken){
res.send('Hey admin your flag is <b>flag{prototype_pollution_is_very_dangerous}</b>');
}
else {
res.status(403).send('Forbidden');
}
}
)
app.post('/api', (req, res) => {
var client = req.body;
var winner = null;
if (client.row > 3 || client.col > 3){
client.row %= 3;
client.col %= 3;
}
matrix[client.row][client.col] = client.data;
for(var i = 0; i < 3; i++){
if (matrix[i][0] === matrix[i][1] && matrix[i][1] === matrix[i][2] ){
if (matrix[i][0] === 'X') {
winner = 1;
}
else if(matrix[i][0] === 'O') {
winner = 2;
}
}
if (matrix[0][i] === matrix[1][i] && matrix[1][i] === matrix[2][i]){
if (matrix[0][i] === 'X') {
winner = 1;
}
else if(matrix[0][i] === 'O') {
winner = 2;
}
}
}
if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'X'){
winner = 1;
}
if (matrix[0][0] === matrix[1][1] && matrix[1][1] === matrix[2][2] && matrix[0][0] === 'O'){
winner = 2;
}
if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'X'){
winner = 1;
}
if (matrix[0][2] === matrix[1][1] && matrix[1][1] === matrix[2][0] && matrix[2][0] === 'O'){
winner = 2;
}
if (draw(matrix) && winner === null){
res.send(JSON.stringify({winner: 0}))
}
else if (winner !== null) {
res.send(JSON.stringify({winner: winner}))
}
else {
res.send(JSON.stringify({winner: -1}))
}
})
app.listen(3000, () => {
console.log('app listening on port 3000!')
})
對於這道題我們獲取flag的條件就是user.admintoken && req.query.querytoken && md5(user.admintoken) === req.query.querytoken,但是我們無法掌控到admintoken。
但是在api這個介面的地方,是可以接收data,row,col所以此時我們可以進行原型鏈汙染,在這裡user.admintoken並沒有被賦值,我們可以進行汙染,只要將
matrix[client.row][client.col] = client.data
client.row設定為__proto__即可,再將col設為admintoken,此時data就是我們設定的值了。
此時在admin路由處傳入querytoken。
題二
'use strict';
const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
function merge(a, b) {
for (var attr in b) {
if (isObject(a[attr]) && isObject(b[attr])) {
merge(a[attr], b[attr]);
} else {
a[attr] = b[attr];
}
}
return a
}
function clone(a) {
return merge({}, a);
}
// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};
// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());
app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {
var body = JSON.parse(JSON.stringify(req.body));
var copybody = clone(body)
if (copybody.name) {
res.cookie('name', copybody.name).json({
"done": "cookie set"
});
} else {
res.json({
"error": "cookie not set"
})
}
});
app.get('/getFlag', (req, res) => {
var аdmin = JSON.parse(JSON.stringify(req.cookies))
if (admin.аdmin == 1) {
res.send("hackim19{}");
} else {
res.send("You are not authorized");
}
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);
flag獲取條件: admin.аdmin == 1)
看到這處路由可以發現admin的admin屬性是不存在的。
看到函式merge:
function merge(a, b) {
for (var attr in b) {
if (isObject(a[attr]) && isObject(b[attr])) {
merge(a[attr], b[attr]);
} else {
a[attr] = b[attr];
}
}
return a
}
這裡進行了物件的合併,但是鍵值是可以被控制的。
注意:在建立字典的時候,__proto__,不是作為一個鍵名,而是已經作為__proto__給其父類進行賦值
所以當我們設定:
var test = {"test":"aa","__proto__":{"admin":1}}
此時:test有兩個鍵值,分別為test以及admin。
那麼我們再將其跟另一個test1進行物件的合併,此時看一下test1,會發現他不具備admin屬性。
如何避免:
利用JSON.parse,JSON.parse 會把一個json字串 轉化為 javascript的object。