当前位置: 首页 > ai >正文

Lodash原型污染漏洞原理详解

ai 2025/6/26 10:54:36

文中涉及操作均来自靶场,切勿用于非授权渗透测试!

一、JavaScript原型链基础

要理解原型污染漏洞,首先需要掌握JavaScript中原型(prototype)和原型链(prototype chain)的基本概念。

1.1 什么是原型

JavaScript是一种基于原型的语言,每个对象都有一个原型对象,对象以其原型为模板,从原型继承方法和属性。原型对象也可能拥有原型,并从中继承方法和属性,这种关系被称为原型链。

function Person(name, age) {this.name = name;this.age = age;
}let p1 = new Person('Alice', 25);
console.log(p1);

在这个例子中,p1Person构造函数的一个实例,它拥有nameage属性,同时还有一个__proto__属性指向Person.prototype

原型链关系验证

console.log(p1.__proto__ === Person.prototype);  // true ✅

console.log(p1.__proto__.__proto__ === Object.prototype);  // true ✅


console.log(p1.__proto__.__proto__.__proto__);  // null ✅

原型链图示

关键点说明

第一层:p1.__proto__ 指向 Person.prototype,这是构造函数为所有实例提供的共享原型对象

第二层:Person.prototype 本身也是一个对象,它的 __proto__ 自然指向 JavaScript 的根原型 Object.prototype

终点:所有原型链最终都会通过 Object.prototype.__proto__ 指向 null,这是原型链的终点

特别说明

在ES6中更推荐使用 Object.getPrototypeOf() 而不是直接访问 __proto__

console.log(Object.getPrototypeOf(p1) === Person.prototype); // true

构造函数本身的 __proto__ 指向 Function.prototype(这是另一个独立的原型链):

console.log(Person.__proto__ === Function.prototype); // true

1.2 所有函数都是 Function 的实例

Person 是构造函数

当你定义 function Person() {}Person 就是一个用于创建对象的构造函数。

但它同时也是一个函数对象,因此它继承自 Function.prototype

console.log(Person.__proto__ === Function.prototype); // true

Function 自身也是构造函数

Function 是 JavaScript 内置的构造函数,用于创建所有函数(包括它自己!)。

有趣的是,Function__proto__ 也指向 Function.prototype

console.log(Function.__proto__ === Function.prototype); // true

这是 JavaScript 中唯一一个 __proto__ 指向自身 prototype 的构造函数。

1.3 Object 的构造函数角色

Object 是顶级构造函数

Object 是所有对象的基类(包括函数对象)。

普通对象(如 {}new Person())的原型链最终都会指向 Object.prototype

ObjectFunction 的关系

Object 本身是一个函数(构造函数),因此它也继承自 Function.prototype

console.log(Object.__proto__ === Function.prototype); // true

Function.prototype 本身是一个对象,它的 __proto__ 又指向 Object.prototype

console.log(Function.prototype.__proto__ === Object.prototype);

1.4 完整的原型链关系图

function Person() {}
const p1 = new Person();// 1. 实例的原型链
console.log(p1.__proto__ === Person.prototype);          // true
console.log(p1.__proto__.__proto__ === Object.prototype); // true
console.log(p1.__proto__.__proto__.__proto__ === null);   // true// 2. 构造函数的原型链
console.log(Person.__proto__ === Function.prototype);     // true
console.log(Function.__proto__ === Function.prototype);   // true (特殊!)
console.log(Object.__proto__ === Function.prototype);     // true// 3. 原型对象的原型链
console.log(Function.prototype.__proto__ === Object.prototype); // true
console.log(Person.prototype.__proto__ === Object.prototype);   // true
终极关系总结(关键记忆点)
对象	              __proto__ 指向	        说明
p1 (实例)	          Person.prototype	    实例指向构造函数的原型
Person (函数)	      Function.prototype	  所有函数继承自 Function
Person.prototype	  Object.prototype	    默认构造函数的原型继承自 Object
Function	          Function.prototype	  唯一自引用的构造函数
Object	            Function.prototype	  Object 本身是函数
Function.prototype	Object.prototype	    函数原型的父级是对象原型
Object.prototype	  null	                原型链的终点

二、原型污染漏洞原理

2.1 什么是原型污染

原型污染是指攻击者通过某种手段修改JavaScript对象的原型(通常是Object.prototype),从而影响所有基于该原型的对象的行为。

在Lodash的案例中,某些函数(如defaultsDeep)未能正确处理特殊属性(如constructor__proto__),导致攻击者可以通过精心构造的输入修改Object.prototype

2.2 Lodash漏洞示例

Lodash的defaultsDeep函数用于递归合并对象的属性。在4.17.12之前的版本中,它存在原型污染漏洞:

 const payload = '{"constructor": {"prototype": {"vuln": true}}}';_.defaultsDeep({}, JSON.parse(payload));if({}.vuln === true) {alert('lodash 存在原型污染漏洞!');}else{console.log('no vuln!');}

2.3 解析_.defaultsDeep 为何会导致漏洞

当执行_.defaultsDeep({}, JSON.parse(payload));,递归地将 payload 的属性合并到空对象 {} 中。Lodash 未对特殊属性名(constructorprototype)做安全过滤。

执行流程:
1. 创建恶意对象
const payload = '{"constructor": {"prototype": {"vuln": true}}}';
2. _.defaultsDeep({}, JSON.parse(payload))的过程

_.defaultsDeep(object, sources) 是 Lodash 提供的一个递归合并方法,用于将 sources(源对象)的属性深度合并到 object(目标对象)中,但仅当目标对象的对应属性为 undefined 时才覆盖。

JSON.parse(payload)解析 JSON 字符串,生成 JavaScript 对象

源对象 sources:{ constructor: { prototype: { vuln: true } } }

目标对象 object: 空对象 {}(所有属性初始为 undefined

关键点:constructor.prototype 是 JavaScript 中访问 Object.prototype 的路径。

  1. 合并过程

检查目标对象的 constructor 属性 → undefined,直接合并源对象的 constructor

递归检查 constructor.prototype → 目标对象无此属性,继续合并。

最终将 { vuln: true } 赋值到 Object.prototype(即 constructor.prototype 指向的原型对象)。

2.4 漏洞危害

原型污染可能导致多种安全问题:

属性注入:向全局对象注入恶意属性

拒绝服务(DoS):覆盖关键方法导致应用崩溃

远程代码执行(RCE):在某些特定环境下可导致代码执行

安全机制绕过:可能绕过输入验证或其他安全控制

## 感谢您的关注

echo "QmlsaWJpbGkgc2VhcmNoICdQZW5UZXN0M3JfWmVybGsnIGZvciBtb3JlIHZpZGVvLCBUaGFuayB5
b3UgZm9yIHlvdXIgc3VwcG9ydCEK"|base64 -d

http://www.xdnf.cn/news/12523.html

相关文章:

  • [HCTF 2018]admin 1
  • N元语言模型 —— 一文讲懂!!!
  • 设计模式-观察着模式
  • 关于脏读,幻读,可重复读的学习
  • C++中的排列组合算法详解
  • SUSE Linux 发行版全面解析:从开源先驱到企业级支柱
  • element树结构el-tree,默认选中当前setCurrentKey无效
  • golang项目中如何使用私密仓库的扩展包
  • 1.4 Node.js 的 TCP 和 UDP
  • 基于 STM32 的四路 PWM 控制智能小车运动的模块化控制程序
  • PDF图片和表格等信息提取开源项目
  • FastAPI安全机制:从OAuth2到JWT的魔法通关秘籍
  • Web前端基础:JavaScript
  • C++字符串解析2
  • yolov11与双目测距结合,实现目标的识别和定位测距(onnx版本)
  • Docker、Wsl 打包迁移环境
  • |从零开始的Pyside2界面编程| 用Pyside2打造一个AI助手界面
  • pycharm 中文字体报错
  • 从零开始搭建 Pytest 测试框架(Python 3.8 + PyCharm 版)
  • Android Studio 解决首次安装时下载 Gradle 慢问题
  • spring中的@RabbitListener注解详解
  • C++设计模式 - 单例模式
  • Python Copilot【代码辅助工具】 简介
  • AI数据分析在体育中的应用:技术与实践
  • 初识结构体,整型提升及操作符的属性
  • 12.6Swing控件4 JSplitPane JTabbedPane
  • 第六章 进阶18 小杨的困惑
  • 博弈论概述
  • 网络库libhv介绍
  • Selenium自动化测试之弹窗处理