大佬的wp:WEB：Wife_wife-CSDN博客

知识点：

• prototype是new class 的一个属性，即__proto__指向new class 的prototype属性
• __proto__如果作为json代码解析的话会被当成键名处理，但是如果是在类中的话则会被当成子类的原型
  • 如let os=json.parse('{"a":"nihao","__proto__":{"isAdmin":true}}'); 
    • json.parse相当于创建一个对象，解析过程中__proto__作为键名处理；相当于os对象有两个键:a和__proto__
  • let os={"a":"nihao","__proto__":{"isAdmin":true}}; 
    • 这里__proto__相当于os本身，内部键名：a和isAdmin
• Object.assign()
  • 利用该函数可以拷贝资源属性的所有键名和值到目标中

  • Object.assign(target, ...sources)

• 部分源码分析

  • app.post('/register', (req, res) => {let user = JSON.parse(req.body)if (!user.username || !user.password) {return res.json({ msg: 'empty username or password', err: true })}if (users.filter(u => u.username == user.username).length) {return res.json({ msg: 'username already exists', err: true })}if (user.isAdmin && user.inviteCode != INVITE_CODE) {user.isAdmin = falsereturn res.json({ msg: 'invalid invite code', err: true })}let newUser = Object.assign({}, baseUser, user) //就是这里，原型链污染users.push(newUser)res.json({ msg: 'user created successfully', err: false })
    })

  • 源码中需要绕过一个点：if (user.isAdmin && user.inviteCode != INVITE_CODE)；他只要检测到isAdmin=true就会强制改为false，除非给出了正确的inviteCode,而想要拿到真正的flag必须保证isAdmin=true才行，下面有一个Object.assign()函数，是将源类的键名和值都拷贝到目标中，即新建的对象中拷贝过程中__proto__会表示子类原型，不作为键名处理，真实拷贝键名为isAdmin值为true，json.parse()中__proto__作为键名处理，导致后面直接绕过了isAdmin的判断，相当于没有该键名，默认为false
• 原链污染详解：深入理解 JavaScript Prototype 污染攻击 | 离别歌 (leavesongs.com)
  • 污染代码必须在json解析之前输入，即__proto__必须作为键名处理才能实现污染攻击
  • 留意merge clone 等函数

通关载荷：

抓取注册is_Admin=true的数据包，构造对应载荷：

payload：{"username":"ren2","password":"123","__proto__"：{"isAdmin":true},"inviteCode":"1"}

成功注册了账号，这里直接登进去就拿到flag了

如果只是注册了普通账号的话，只能看到虚假的flag和一张图片，没有任何信息

这题可太整人了，普通账号进入后，我还以为图片中会有一些信息呢，做了半天的杂项发现图片就真的是图片呀，扫了一下上面的那张小图nilou1.jpg，发现竟然是个jphide加密的，欸，难道有什么隐藏的信息？？？搞了半天找不到密码，无法进行解码，看了大佬的wp才发现我是彻底被作者给打败了，思路被诱导了，原来是要绕过isAdmin检测，即使知道了也不会，基础太差了，原链污染的概念也是第一次听，总的来说还是有所收获的，一边被虐一边学习，痛并快乐着

用一张图来表达我的心情

10