NodeJS - __proto__ & prototype Pollution
Last updated
Last updated
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Objekte in JavaScript sind im Wesentlichen Sammlungen von Schlüssel-Wert-Paaren, die als Eigenschaften bekannt sind. Ein Objekt kann mit Object.create unter Verwendung von null als Argument erstellt werden, um ein leeres Objekt zu erzeugen. Diese Methode ermöglicht die Erstellung eines Objekts ohne geerbte Eigenschaften.
Ein leeres Objekt ist einem leeren Wörterbuch ähnlich, dargestellt als {}.
In JavaScript sind Klassen und Funktionen eng miteinander verbunden, wobei Funktionen oft als Konstruktoren für Klassen dienen. Trotz des Fehlens nativer Klassenunterstützung in JavaScript können Konstruktoren das Verhalten von Klassen emulieren.
JavaScript ermöglicht die Modifikation, Hinzufügung oder Löschung von Prototypattributen zur Laufzeit. Diese Flexibilität ermöglicht die dynamische Erweiterung der Funktionalitäten von Klassen.
Funktionen wie toString und valueOf können verändert werden, um ihr Verhalten zu ändern, was die anpassungsfähige Natur des Prototypsystems von JavaScript demonstriert.
In der prototypbasierten Programmierung werden Eigenschaften/Methoden von Objekten von Klassen geerbt. Diese Klassen werden erstellt, indem Eigenschaften/Methoden entweder zu einer Instanz einer anderen Klasse oder zu einem leeren Objekt hinzugefügt werden.
Es sollte beachtet werden, dass, wenn eine Eigenschaft zu einem Objekt hinzugefügt wird, das als Prototyp für andere Objekte dient (wie myPersonObj), die erbbenden Objekte Zugriff auf diese neue Eigenschaft erhalten. Diese Eigenschaft wird jedoch nicht automatisch angezeigt, es sei denn, sie wird ausdrücklich aufgerufen.
JavaScript-Objekte werden durch Schlüssel-Wert-Paare definiert und erben vom JavaScript-Objektprototyp. Das bedeutet, dass die Veränderung des Objektprototyps alle Objekte in der Umgebung beeinflussen kann.
Lassen Sie uns ein anderes Beispiel verwenden, um dies zu veranschaulichen:
Der Zugriff auf das Objektprototyp ist möglich über:
Durch das Hinzufügen von Eigenschaften zum Object-Prototyp erbt jedes JavaScript-Objekt diese neuen Eigenschaften:
Für ein Szenario, in dem die Verwendung von __proto__ eingeschränkt ist, ist die Modifizierung des Prototyps einer Funktion eine Alternative:
Dies betrifft nur Objekte, die aus dem Vehicle-Konstruktor erstellt wurden, und verleiht ihnen die Eigenschaften beep, hasWheels, honk und isElectric.
Zwei Methoden, um JavaScript-Objekte global durch Prototyp-Verschmutzung zu beeinflussen, sind:
Direkte Verschmutzung des Object.prototype:
Die Verschmutzung des Prototyps eines Konstruktors für eine häufig verwendete Struktur:
Nach diesen Operationen kann jedes JavaScript-Objekt die Methoden goodbye und greet ausführen.
In einem Szenario, in dem Sie ein bestimmtes Objekt verschmutzen können und Sie zu Object.prototype gelangen müssen, können Sie danach mit etwas wie dem folgenden Code suchen:
Beachten Sie, dass Sie, da Sie Attribute von Objekten in JS verschmutzen können, wenn Sie Zugriff haben, um ein Array zu verschmutzen, auch Werte des Arrays zugänglich über Indizes verschmutzen können (beachten Sie, dass Sie Werte nicht überschreiben können, sodass Sie Indizes verschmutzen müssen, die irgendwie verwendet, aber nicht geschrieben werden).
Beim Erzeugen eines HTML-Elements über JS ist es möglich, das innerHTML-Attribut zu überschreiben, um willkürlichen HTML-Code zu schreiben. Idee und Beispiel aus diesem Artikel.
Eine Prototyp-Verschmutzung tritt aufgrund eines Fehlers in der Anwendung auf, der das Überschreiben von Eigenschaften auf Object.prototype ermöglicht. Das bedeutet, dass die meisten Objekte ihre Eigenschaften von Object.prototype ableiten.
Das einfachste Beispiel besteht darin, einen Wert zu einem undefinierten Attribut eines Objekts hinzuzufügen, das überprüft werden soll, wie:
Wenn das Attribut admin undefiniert ist, ist es möglich, eine PP auszunutzen und es mit etwas wie Folgendem auf True zu setzen:
Der Mechanismus dahinter besteht darin, Eigenschaften so zu manipulieren, dass ein Angreifer, der die Kontrolle über bestimmte Eingaben hat, das Prototyp aller Objekte in der Anwendung ändern kann. Diese Manipulation beinhaltet typischerweise das Setzen der __proto__-Eigenschaft, die in JavaScript gleichbedeutend mit der direkten Änderung des Prototyps eines Objekts ist.
Die Bedingungen, unter denen dieser Angriff erfolgreich ausgeführt werden kann, wie in einer bestimmten Studie dargelegt, umfassen:
Durchführung eines rekursiven Mergings.
Definieren von Eigenschaften basierend auf einem Pfad.
Klonen von Objekten.
Andere Payloads:
Für weitere Details siehe diesen Artikel In jQuery kann die Funktion $ .extend zu Prototype-Verschmutzung führen, wenn die Deep-Copy-Funktionalität unsachgemäß verwendet wird. Diese Funktion wird häufig zum Klonen von Objekten oder zum Zusammenführen von Eigenschaften aus einem Standardobjekt verwendet. Wenn sie jedoch falsch konfiguriert ist, können Eigenschaften, die für ein neues Objekt vorgesehen sind, stattdessen dem Prototyp zugewiesen werden. Zum Beispiel:
Diese Schwachstelle, identifiziert als CVE-2019–11358, zeigt, wie eine tiefe Kopie versehentlich das Prototyp ändern kann, was zu potenziellen Sicherheitsrisiken führen kann, wie z.B. unbefugtem Admin-Zugriff, wenn Eigenschaften wie isAdmin ohne ordnungsgemäße Existenzüberprüfung überprüft werden.
Für weitere Details siehe diesen Artikel
Lodash hatte ähnliche Schwachstellen in Bezug auf Prototyp-Verschmutzung (CVE-2018–3721, CVE-2019–10744). Diese Probleme wurden in Version 4.17.11 behoben.
Server-Side-Prototype-Pollution-Gadgets-Scanner: Burp Suite-Erweiterung, die entwickelt wurde, um serverseitige Prototyp-Verschmutzungsanfälligkeiten in Webanwendungen zu erkennen und zu analysieren. Dieses Tool automatisiert den Prozess des Scannens von Anfragen, um potenzielle Probleme mit Prototyp-Verschmutzung zu identifizieren. Es nutzt bekannte Gadgets - Methoden zur Ausnutzung von Prototyp-Verschmutzung, um schädliche Aktionen auszuführen - und konzentriert sich insbesondere auf Node.js-Bibliotheken.
server-side-prototype-pollution: Diese Erweiterung identifiziert serverseitige Prototyp-Verschmutzungsanfälligkeiten. Sie verwendet Techniken, die in der serverseitigen Prototyp-Verschmutzung beschrieben sind.
NodeJS nutzt umfangreich Abstract Syntax Trees (AST) in JavaScript für Funktionen wie Template-Engines und TypeScript. Dieser Abschnitt untersucht die Schwachstellen im Zusammenhang mit Prototyp-Verschmutzung in Template-Engines, insbesondere Handlebars und Pug.
Die Handlebars-Template-Engine ist anfällig für einen Prototyp-Verschmutzungsangriff. Diese Schwachstelle ergibt sich aus bestimmten Funktionen innerhalb der Datei javascript-compiler.js. Die Funktion appendContent beispielsweise fügt pendingContent hinzu, wenn es vorhanden ist, während die Funktion pushSource pendingContent nach dem Hinzufügen der Quelle auf undefined zurücksetzt.
Ausnutzungsprozess
Die Ausnutzung nutzt den von Handlebars erzeugten AST (Abstract Syntax Tree) und folgt diesen Schritten:
Manipulation des Parsers: Zunächst zwingt der Parser über den NumberLiteral-Knoten, dass Werte numerisch sind. Prototyp-Verschmutzung kann dies umgehen und das Einfügen von nicht-numerischen Zeichenfolgen ermöglichen.
Verarbeitung durch den Compiler: Der Compiler kann ein AST-Objekt oder eine Zeichenfolgenvorlage verarbeiten. Wenn input.type gleich Program ist, wird die Eingabe als vorgeparst behandelt, was ausgenutzt werden kann.
Code-Injektion: Durch Manipulation von Object.prototype kann beliebiger Code in die Template-Funktion injiziert werden, was zu einer Remote-Code-Ausführung führen kann.
Ein Beispiel, das die Ausnutzung der Handlebars-Schwachstelle demonstriert:
Dieser Code zeigt, wie ein Angreifer beliebigen Code in eine Handlebars-Vorlage injizieren könnte.
Externe Referenz: Ein Problem im Zusammenhang mit Prototype Pollution wurde in der 'flat'-Bibliothek gefunden, wie hier detailliert: Issue auf GitHub.
Externe Referenz: Problem im Zusammenhang mit Prototype Pollution in der 'flat'-Bibliothek
Beispiel für einen Prototype Pollution-Exploit in Python:
Pug, ein weiterer Template-Engine, ist einem ähnlichen Risiko der Prototype Pollution ausgesetzt. Detaillierte Informationen sind in der Diskussion über AST Injection in Pug verfügbar.
Beispiel für Prototype Pollution in Pug:
Um das Risiko von Prototype Pollution zu verringern, können die folgenden Strategien angewendet werden:
Objektunveränderlichkeit: Das Object.prototype kann durch Anwendung von Object.freeze unveränderlich gemacht werden.
Eingangsvalidierung: JSON-Eingaben sollten rigoros gegen das Schema der Anwendung validiert werden.
Sichere Merge-Funktionen: Die unsichere Verwendung von rekursiven Merge-Funktionen sollte vermieden werden.
Prototyplose Objekte: Objekte ohne Prototyp-Eigenschaften können mit Object.create(null) erstellt werden.
Verwendung von Map: Anstelle von Object sollte Map zur Speicherung von Schlüssel-Wert-Paaren verwendet werden.
Bibliotheksupdates: Sicherheitsupdates können durch regelmäßige Aktualisierung von Bibliotheken integriert werden.
Linter und statische Analysetools: Verwenden Sie Tools wie ESLint mit geeigneten Plugins, um Prototype Pollution-Schwachstellen zu erkennen und zu verhindern.
Code-Reviews: Führen Sie gründliche Code-Reviews durch, um potenzielle Risiken im Zusammenhang mit Prototype Pollution zu identifizieren und zu beheben.
Sicherheitsschulung: Schulen Sie Entwickler über die Risiken von Prototype Pollution und bewährte Praktiken zum Schreiben sicherer Codes.
Vorsicht bei der Verwendung von Bibliotheken: Seien Sie vorsichtig bei der Verwendung von Drittanbieterbibliotheken. Bewerten Sie deren Sicherheitslage und überprüfen Sie deren Code, insbesondere bei denen, die Objekte manipulieren.
Laufzeitschutz: Setzen Sie Laufzeitschutzmechanismen ein, wie die Verwendung von sicherheitsfokussierten npm-Paketen, die Prototype Pollution-Angriffe erkennen und verhindern können.
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
