Express Prototype Pollution Gadgets
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Per ulteriori dettagli dai un'occhiata alla ricerca originale
In un'app Express che utilizza una risposta di tipo contenuto JSON e riflette un JSON:
In questi casi, l'XSS non è normalmente possibile con un tipo di contenuto JSON. Tuttavia, con la contaminazione del prototipo possiamo confondere Express per servire una risposta HTML. Questa vulnerabilità si basa sull'applicazione che utilizza res.send(obj)
e utilizza il body parser con il tipo di contenuto application/json.
By inquinando le proprietà body
e _body
, è possibile causare a Express di servire il tipo di contenuto HTML e riflettere la proprietà _body
, risultando in XSS memorizzato.
È possibile far sì che express renderizzi contenuti UTF-7 con:
Il seguente PP farà sì che gli attributi all'interno di un JSON abbiano uno spazio extra che non interromperà la funzionalità:
Allora un JSON riflesso apparirà come:
Il seguente gadget PP farà sì che il server restituisca l'intestazione HTTP: Access-Control-Expose_headers: foo
Richiede che il modulo CORS sia installato
Con il seguente payload, è possibile nascondere un metodo da una risposta OPTIONS:
È possibile modificare il codice di stato restituito utilizzando il seguente payload PP:
Quando si assegna a un prototipo con un primitivo come una stringa, produce un operazione no-op poiché il prototipo deve essere un oggetto. Se si tenta di assegnare un oggetto prototipo a Object.prototype
stesso, questo genererà un'eccezione. Possiamo utilizzare questi due comportamenti per verificare se la contaminazione del prototipo è avvenuta con successo:
Quando un'applicazione include un oggetto nella sua risposta, creare un attributo con un nome insolito insieme a __proto__
può essere rivelatore. In particolare, se solo l'attributo insolito viene restituito nella risposta, questo potrebbe indicare la vulnerabilità dell'applicazione:
Inoltre, in scenari in cui viene utilizzata una libreria come Lodash, impostare una proprietà sia tramite inquinamento del prototipo (PP) che direttamente all'interno dell'oggetto offre un altro approccio diagnostico. Se tale proprietà è omessa dalla risposta, suggerisce che Lodash sta verificando l'esistenza della proprietà nell'oggetto target prima di unire:
C'è un'opzione in Express che ti consente di creare oggetti dai parametri della query string. Potresti sicuramente usarla in una catena di bug per sfruttare una vulnerabilità di inquinamento del prototipo.
?foo.bar=baz
crea un oggetto in Node.
Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)