、prototype属性

prototype原型。

它本身是一个对象故原型对象也会有它自己的原型逐渐构成了原型链。

原型链终止于拥有

null

prototype。

它的名字不是标准的但实际上所有浏览器都使用

而对于原型对象来说它有个constructor属性指向它的构造函数。

2、prototype属性

继承机制的设计思想就是原型对象的所有属性和方法都能被实例对象共享。

也就是说如果属性和方法定义在原型上那么所有实例对象就能共享不仅节省了内存还体现了实例对象之间的联系。

3、原型对象的属性不是实例对象自身的属性。

只要修改原型对象变动就立刻会体现在所有实例对象上。

4、原型对象的属性不是实例对象自身的属性。

只要修改原型对象变动就立刻会体现在所有实例对象上。

5、如果实例对象自身就有某个属性或方法它就不会再去原型对象寻找这个属性或方法。

总的来说原型对象的作用就是定义所有实例对象共享的属性和方法而实例对象可以视作从原型对象衍生出来的子对象。

3、原型链

显示原型就是利用prototype属性查找原型只是这个是函数类型数据的属性。

2、隐式原型

隐式原型是利用__proto__属性查找原型这个属性指向当前对象的构造函数的原型对象这个属性是对象类型数据的属性所以可以在实例对象上面使用

3、原型链

规定所有对象都有自己的原型对象prototype。

一方面任何一个对象都可以充当其他对象的原型另一方面由于原型对象也是对象所以它也有自己的原型。

因此就会形成一个“原型链”prototype

如果某个对象查找属性自己和原型对象上都没有那就会继续往原型对象的原型对象上去找这个例子里就是Object.prototype这里就是查找的终点站了在这里找不到就没有更上一层了null里面啥也没有直接返回undefined。

可以看出整个查找过程都是顺着__proto__属性一步一步往上查找形成了像链条一样的结构这个结构就是原型链。

所以原型链也叫作隐式原型链。

正是因为这个原因我们在创建对象、数组、函数等等数据的时候都自带一些属性和方法这些属性和方法是在它们的原型上面保存着所以它们自创建起就可以直接使用那些属性和方法。

4、constructor属性

prototype对象拥有一个constructor属性用来指向prototype对象所在的构造函数我们也是通过这条路径来污染原型链的。

1、由于constructor属性定义在prototype对象上面意味着可以被所有实例对象继承。

2、constructor属性的作用是可以得知某个实例对象到底是哪一个构造函数产生的。

3、有了constructor属性就可以从一个实例对象新建另一个实例。

4、constructor属性表示原型对象与构造函数之间的关联关系如果修改了原型对象一般会同时修改constructor属性防止引用的时候报错。

二、原型链污染重现

}app.use(express.static(public));

app.set(view

require(hbs).__express);app.get(/,

(req,

??*/console.log(user.admintoken);if(user.admintoken

req.query.querytoken

req.query.querytoken){res.send(Hey

admin

bflag{prototype_pollution_is_very_dangerous}/b);}

else

{res.status(403).send(Forbidden);}

)app.post(/api,

3;}matrix[client.row][client.col]

client.data;for(var

null){res.send(JSON.stringify({winner:

0}))}else

{res.send(JSON.stringify({winner:

winner}))}else

{res.send(JSON.stringify({winner:

-1}))}})

传入的querytoken要和user数组本身的admintoken的MD5值相等且二者都要存在。

if(user.admintoken

req.query.querytoken){res.send(Hey

admin

bflag{prototype_pollution_is_very_dangerous}/b);}

else

{res.status(403).send(Forbidden);}

client.data

在计算机安全性方面沙箱沙盒、sanbox是分离运行程序的安全机制提供一个隔离环境以运行程序。

通常情况下在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止资源包括内存、网络访问、主机系统等等。

沙箱通常用于执行不受信任的程序或代码例如用户输入、第三方模块等等。

其目的为了减少或者避免软件漏洞对计算机造成破坏的风险.

2、vm模块

vm模块是Node.JS内置的一个模块。

理论上不能叫沙箱他只是Node.JS提供给使用者的一个隔离环境。

使用方法很简单我们执行mn这个表达式

我们可以使用外部传入的对象比如this来引入当前上下文里没有的模块进而绕过这个隔离环境

vm.createContext([sandbox])在使用前需要先创建一个沙箱对象再将沙箱对象传给该方法如果没有则会生成一个空的沙箱对象v8Chrome中的v8引擎为这个沙箱对象在当前global外再创建一个作用域此时这个沙箱对象就是这个作用域的全局对象沙箱内部无法访问global中的属性。

options])参数为要执行的代码和创建完作用域的沙箱对象代码会在传入的沙箱对象的上下文中执行并且参数的值与沙箱内的参数值相同。

const

//上下文中的a在输出中应为2*24但是真正输出结果a仍是1即沙箱内部无法访问到global的属性。

以下是一个简单的沙箱逃逸的例子

const

this.toString.constructor(return

process)()return

process.mainModule.require(child_process).execSync(whoami).toString()

})()

desktop-028es37\111//与计算机终端使用whoami命令输出结果一致证明逃逸成功计算机最终输出结果

C:\User\1\whoami