Express Prototype Pollution Gadgets
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Para más detalles echa un vistazo a la investigación original
En una aplicación Express que utiliza un tipo de contenido de respuesta JSON y refleja un JSON:
En estos casos, XSS no es normalmente posible con un tipo de contenido JSON. Sin embargo, con la contaminación de prototipos podemos confundir a Express para que sirva una respuesta HTML. Esta vulnerabilidad se basa en que la aplicación utiliza res.send(obj)
y usa el analizador de cuerpo con el tipo de contenido application/json.
Al contaminar las propiedades body
y _body
, es posible hacer que Express sirva el tipo de contenido HTML y refleje la propiedad _body
, lo que resulta en XSS almacenado.
Es posible hacer que express renderice contenido UTF-7 con:
El siguiente PP hará que los atributos dentro de un JSON tengan un espacio extra que no romperá la funcionalidad:
Entonces un JSON reflejado se verá así:
El siguiente gadget de PP hará que el servidor envíe de vuelta el encabezado HTTP: Access-Control-Expose_headers: foo
Requiere que el módulo CORS esté instalado
Con la siguiente carga útil, es posible ocultar un método de una respuesta OPTIONS:
Es posible cambiar el código de estado devuelto utilizando la siguiente carga útil de PP:
Cuando asignas a un prototipo con un primitivo como una cadena, produce una operación no operativa ya que el prototipo tiene que ser un objeto. Si intentas asignar un objeto prototipo al Object.prototype
en sí, esto lanzará una excepción. Podemos usar estos dos comportamientos para detectar si la contaminación del prototipo fue exitosa:
Cuando una aplicación incluye un objeto en su respuesta, crear un atributo con un nombre inusual junto a __proto__
puede ser revelador. Específicamente, si solo se devuelve el atributo inusual en la respuesta, esto podría indicar la vulnerabilidad de la aplicación:
Además, en escenarios donde se emplea una biblioteca como Lodash, establecer una propiedad tanto a través de la contaminación del prototipo (PP) como directamente dentro del objeto ofrece otro enfoque diagnóstico. Si tal propiedad se omite de la respuesta, sugiere que Lodash está verificando la existencia de la propiedad en el objeto objetivo antes de fusionar:
Hay una opción en Express que te permite crear objetos a partir de parámetros de la cadena de consulta. Definitivamente podrías usarlo en una cadena de errores para explotar una vulnerabilidad de contaminación de prototipos.
?foo.bar=baz
crea un objeto en Node.
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)