JavaScript 原型链污染

0x01 前言

最近看到一篇原型链污染的文章，自己在这里总结一下

0x02 javascript 原型链

js在ECS6之前没有类的概念，之前的类都是用funtion来声明的。如下

可以看到b在实例化为test对象以后，就可以输出test类中的属性a了。这是为什么呢?

原因在于js中的一个重要的概念：继承。

而继承的整个过程就称为该类的原型链。

在javascript中,每个对象的都有一个指向他的原型(prototype)的内部链接，这个原型对象又有它自己的原型，直到null为止

function i(){ this.a = “test1”; this.b = “test2”;}

可以看到其父类为object，且里面还有许多函数，这就解释了为什么许多变量可以调用某些方法。

在javascript中一切皆对象，因为所有的变量，函数，数组，对象 都始于object的原型即object.prototype。同时，在js中只有类才有prototype属性，而对象却没有，对象有的是__proto__和类的prototype对应。且二者是等价的

当我们创建一个类时

原型链为

b -> a.prototype -> object.prototype->null

创建一个数组时

原型链为

c -> array.prototype -> object.prototype->null

创建一个函数时

原型链为

d -> function.prototype -> object.prototype->null

创建一个日期

原型链为

f -> Data.prototype -> object.prototype->null

所以，测试之后会发现：javascript 一切皆对象，一切皆始于 object.prototype

原型链变量的搜索

下面先看一个例子：

我们实例要先于在i中添加属性，但是在j中也有了c属性。这是为什么呢

答：

当要使用或输出一个变量时：首先会在本层中搜索相应的变量，如果不存在的话，就会向上搜索，即在自己的父类中搜索，当父类中也没有时，就会向祖父类搜索，直到指向null，如果此时还没有搜索到，就会返回 undefined

所以上面的过程就很好解释了，原型链为

j -> i.prototype -> object.prototype -> null

所以对象j调用c属性时，本层并没有，所以向上搜索，在上一层找到了我们添加的test3,所以可以输出。

prototype 原型链污染

先看一个小例子：

attach.html

结果：

在mess.js中我们声明了一个数组 secret,然后该数组调用了属于 Array.protottype的foreach方法,如下

但是，在调用js文件之前，js代码中将Array.prototype.foreach方法进行了重写，而prototype链为secret -> Array.prototype ->object.prototype,secret中无 foreach 方法，所以就会向上检索，就找到了Array.prototype 而其foreach方法已经被重写过了，所以会执行输出。

这就是原型链污染。很明显，原型链污染就是：在我们想要利用的代码之前的赋值语句如果可控的话，我们进行 ——proto 赋值，之后就可以利用代码了

如何应用?

在javascript中可以通过 test.a or test[‘a’] 对数组的元素进行访问，如下：

同时对对象来说说也是一样的

所以我们上述说的prototype也是一样的

那就很明显了，原型链污染一般会出现在对象、或数组的键名或属性名可控,而且是赋值语句的情况下。

下面我们先看一道题：hackit 2018

获取flag的条件是 传入的querytoken要和user数组本身的admintoken的MD5值相等，且二者都要存在。

由代码可知，全文没有对user.admintokn 进行赋值，所以理论上这个值时不存在的，但是下面有一句赋值语句：

matrix[client.row][client.col] = client.data

data,row,col，都是我们post传入的值，都是可控的。所以可以构造原型链污染，下面我们先本地测试一下。

下面我们给出payload和结果

注:要使用json传值，不然会出现错误

下面再看另一道题：

先分析一下题目，获取flag的条件是admin.аdmin == 1而admin 本身是一个object，其admin 属性本身并不存在，而且还有一个敏感函数 merg

merge 函数作用是进行对象的合并，其中涉及到了对象的赋值，且键值可控，这样就可以触发原形链污染了

下面我们本地测试一下

是undefined，为什么呢?下面我们看下

原来我们在创建字典的时候，proto,不是作为一个键名，而是已经作为__proto__给其父类进行赋值了，所以在test.__proto__中才有admin属性，但是我们是想让__proto__作为一个键值的.

那应该怎么办呢?可以使用 JSON.parse

JSON.parse 会把一个json字符串 转化为 javascript的object

这样就不会在创建类的时候直接给父类赋值了

而题目中也出现了JSON.parse

var body = JSON.parse(JSON.stringify(req.body));

这样我们就可以愉快地进行原型链污染了

payload：

　　大连男科在线咨询 http://www.bhnkyy.net/

　　大连割包皮需要多少钱 http://www.62671288.net/