nodejs沙箱逃逸漏洞

于 2023-08-05 14:20:52 发布
阅读量266 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52635036/article/details/132092272
版权

目录

一:沙箱绕过

1:概念

2:核心原理

3:例题分析

3.1 this去获取一个toString方法,再通过toString方法来获取构造函数,拿到process模块

问题1:为什么我们不直接使用{}.toString.constructor('return process')(),却要使用this呢?

问题2:m和n也是沙盒外的对象,为什么也不能用m.toString.constructor('return process')()呢?

问题3:想一想能不能把mn的值引用变成类型引用呢?

一:沙箱绕过

1:概念

Node.js沙箱逃逸漏洞是一种安全漏洞,它允许攻击者通过利用Node.js沙箱环境中的漏洞来逃逸出沙箱,并访问或控制沙箱之外的系统资源。

沙箱是一种隔离技术,用于限制代码运行的环境,以防止恶意代码对系统造成损害。在Node.js中,沙箱通常用于运行不受信任的代码,例如第三方模块或用户提交的代码。

2:核心原理

只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。

3:例题分析

3.1 this去获取一个toString方法,再通过toString方法来获取构造函数,拿到process模块

vm是 Node.js 的内置模块,用于在本机代码中执行 JavaScript 代码。使用 vm 模块,可以创建一个隔离的环境,以执行不受信任的代码,从而避免对主机环境的直接访问和潜在风险。

const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

创建了一个名为 sandbox 的对象,它具有两个属性:m 和 n,分别被初始化为 1 和 2。这个对象代表了一个隔离的环境,我们的代码将在其中执行。

然后,我们使用 vm.createContext() 创建了一个新的上下文对象 context,并将 sandbox 作为参数传递给它。这样,context 就成为了一个与 sandbox 具有相同属性和方法的对象。

最后,我们使用 vm.runInContext() 方法来在指定的上下文中执行代码。我们将 script 和 context 作为参数传递给这个方法,它会返回执行结果。

const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')() 
process.mainModule.require('child_process').execSync('whoami').toString()
`;
const sandbox = {m:[], n: {}, x: /regexp/};
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

通过this去获取一个toString方法,再通过toString方法来获取构造函数

怎么获取Function,通过toString函数和constructor 属性来获取Function这个属性

this.toString.constructor  因为constructor本身就是指向它的构造函数

先拿到个process模块,通过this(这个this指向的是sandbox全局).toString.constructor拿到所有函数的构造函数Function,接着拿到process模块,最终拿到子模块child_process调用命令执行

问题1:为什么我们不直接使用{}.toString.constructor('return process')(),却要使用this呢?

空对象调用toString.constructor也能拿到Function,但是空对象是沙盒内部的,沙盒逃逸就是要把外部的对象元素引入进来才行,不把外部元素引入进来的话,逃逸不出来。

这两个的一个重要区别就是,{}是在沙盒内的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的对象即使使用这个方法,也获取不到process,因为它本身就没有process。

问题2:m和n也是沙盒外的对象,为什么也不能用m.toString.constructor('return process')()呢?

m和n也是在外部定义的,也有toString方法,不能的原因是原始类型是值引用而不是类型引用

如果是值引用,外部的m和n和沙盒内部的mn是两个数据,如果是类型引用,那就是外部的m把内存地址传给内部,内部直接调用外部的内存地址,那这俩就是一样的

这个原因就是因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的

问题3:想一想能不能把mn的值引用变成类型引用呢?

可以把mn改成空对象或者空数组甚至正则表达式,这样在外部就是类型引用了,这样内部就直接调用的是内存地址 那内外的mn就是一样的了

context:{m: [], n: {}, x: /regexp/}

这边就能看到执行了任意命令了,这里的whoami执行就是我的主机名。逃逸出沙箱就一种方法,就是拿到沙箱外部的变量或对象,然后用.toString方法和.constructor 属性来获取Function这个属性,然后拿到process,之后就可以执行任意代码了

 命令随便执行的,给个ipconfig也是可以执行的

 

 这就是典型的沙箱逃逸来执行命令,如果创建木马啥的,那就会造成危害了

AWngxp
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
NodeJS VM2沙箱逃逸漏洞分析【CVE-2023-32314】
R3s3arcm的博客
08-21 342
Node.js 是一个基于 V8 引擎的开源、跨平台的 JavaScript 运行环境,它可以在多个操作系统上运行,包括 Windows、macOS 和 Linux 等。Node.js 提供了一个运行在服务器端的 JavaScript 环境,使得开发者可以编写并发的、高效的服务器端应用程序。Node.js 使用事件驱动、非阻塞 I/O 模型来支持并发运行。它支持通过插件扩展 API,以及通过 npm(Node.js 包管理器) 安装其他插件和模块。
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
虚拟机/沙箱逃匿漏洞复现
温和的跳跃
01-23 314
明天研究这个。
js沙箱逃逸
middlecorn的博客
08-03 705
在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。
Node.js 常见漏洞学习与总结
weixin_50464560的博客
10-01 3621
转载https://threezh1.com/2020/01/30/NodeJsVulns/ 危险函数所导致的命令执行eval()eval() 函数可计算某个字符串,并执行其中的的 JavaScript 代码。和PHP中eval函数一样,如果传递到函数中的参数可控并且没有经过严格的过滤时,就会导致漏洞的出现。 简单例子: main.js 1234567891011var express = require("express");var app = express();app.get('/eval',fu
【严重】vm2 <3.9.15 沙箱逃逸漏洞(CVE-2023-29017)
murphysec的博客
04-13 1221
vm2 是一个沙箱,用于在 Node.js 环境中运行不受信任的代码。宿主对象(Host objects)是指由 Node.js 的宿主环境提供的对象,例如全局对象、文件系统或网络请求等。 vm2 3.9.15之前版本中,当处理异步错误时未正确处理 Error.prepareStackTrace 的宿主对象,攻击者可利用该漏洞绕过沙箱保护,在运行沙箱的主机上远程执行任意代码。
nodejs-沙箱
03-04
参考: : Nodejs沙箱安装打开cmd并输入'node -v'来检查您的计算机是否安装了nodejs。 如果不是,请在这里下载并安装Node js。运行节点程序转到您的项目目录,并在cmd中写入节点{ur_js_fileName}创建服务器并侦听请求...
sandbox:用于随机事物的 NodeJS 沙箱
06-29
我个人项目的沙箱,目前主要在 NodeJS 中。
Address-Book-API:托管示例地址簿 RESTful API 的 NodeJS 沙箱存储库
06-21
地址簿API 使用准系统 Node.js 应用程序。 此应用程序扩展了如文章中所述 - 请查看。 在本地运行 确保你已经安装了和 。 ...$ cd address-book-api $ npm install ... 您的应用程序现在应该在上运行。...
Redis沙盒逃逸漏洞(CVE-2022-0543)复现以及流量特征分析
xhscxj的博客
02-03 1825
Redis Labs Redis是美国Redis Labs公司的一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值(Key-Value)存储数据库,并提供多种语言的API。Redis 存在代码注入漏洞,攻击者可利用该漏洞远程执行代码。Debian以及Ubuntu发行版的源在打包Redis时,不慎在Lua沙箱中遗留了一个对象package,攻击者可以利用这个对象提供的方法加载动态链接库liblua里的函数,进而逃逸沙箱执行任意命令。
NODEJS 简单的三个漏洞
E1even的博客
03-15 1376
NODEJS 1.toUpperCase: toUpperCase这个函数有个特点: 字符ı、ſ 经过toUpperCase()处理后结果为 I、S 字符K经过toLowerCase()处理后结果为k 利用特点(例题1): CTFSHOW: 一个登录页面啥也不是,关键在于题目给了我们压缩包。 打开之后: login.txt: var express = require('express'); var router = express.Router(); var users = require('../mod
Node.js 修复多个漏洞,可导致RCE和HTTP请求走私
smellycat000的专栏
07-11 1530
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Node.js 维护人员为JavaScript运行时环境中的七个漏洞发布修复方案。它们可导致任意代码执行和HTTP请求走私等攻击。其中,三个漏洞可导致HTTP请求走私,分别是传输-解码解析有权限漏洞(CVE-2022-32213)、标头字段的限定不当漏洞(CVE-2022-32214)以及不正确的多行传输-编码解析漏洞(...
GhostScript 沙箱绕过命令执行漏洞
m0_63241485的博客
08-26 1085
当dorestore退出时,LockFilePermissions的值被设置为falsea = blob;随后使用.setuserparams方法还原LockFilePermissionsa = blob;但是,在restore之后,.setuserparams方法执行之前,可能会抛出StackOverflowError栈溢出错误,不会重置“LockFilePermissions”。从而导致绕过-dSAFER。...
深入分析沙箱逃逸漏洞
kali_Ma的博客
03-03 858
Root Case 下面我们先来看一下漏洞的产生原理,从补丁开始入手,其中最主要的就是下面这个函数: bool IsAcceptingRequests() { return !is_commit_pending_ && state_ != COMMITTING && state_ != FINISHED; } 补丁在每个DatabaseImpl和TransactionImpl接口中添加了该判断,使得处于COMMITTING和FINISHED状态的trans
Node.js沙箱逃逸
shawdow_bug的博客
09-02 1763
什么是沙箱(sandbox) 在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。 沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。 沙箱技术的实现 & node.js 沙箱技术按照设定的安全策略,限制不可信程序对系统资源的使用来实现,那么就要在访问系统资源之前将程序的系统调
CVE-2022-0543 Redis沙盒逃逸漏洞
weixin_45715461的博客
07-01 3520
CVE-2022-0543 Redis沙盒逃逸漏洞
CTFshow nodejs
starttv的博客
11-19 609
​Node.js 是一个基于 Chrome V8 引擎的 Javascript 运行环境。可以说nodejs是一个运行环境,或者说是一个 JS 语言解释器而不是某种库。 Nodejs 是基于 Chrome 的 V8 引擎开发的一个 C++ 程序,目的是提供一个 JS 的运行环境。最早 Nodejs 主要是安装在服务器上,辅助大家用 JS 开发高性能服务器代码,但是后来 Nodejs 在前端也大放异彩,带来了 Web 前端开发的革命。
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 1985
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
Node.js 修复4个漏洞
smellycat000的专栏
01-13 1147
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Node.js 开发人员发布新版本,修复了四个漏洞。Node.js 是用于构建可扩展网络应用程序的流行 JavaScript 运行时环境...
nodejs沙箱逃逸
最新发布
09-11
攻击者可能通过构造精心设计的输入,触发沙箱漏洞,从而获得对主机环境的不受限制的访问权限。 为了防止沙箱逃逸,需要及时更新node.js版本,以修复已知的漏洞。此外,也可以采取其他安全措施,如限制代码的执行...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值