進(jìn)入環(huán)境，給了一段代碼

淺談npm,vm,vm2，Node.js沙盒逃逸

這是一題是關(guān)于Node.js沙盒逃逸的。其中var { VM } = require(“vm2”);是Node.js 官方安全沙箱的庫（是Node.js有關(guān)沙盒的代碼）

在較早一點的 node 版本中 (8.0 之前)，當(dāng) Buffer 的構(gòu)造函數(shù)傳入數(shù)字時, 會得到與數(shù)字長度一致的一個 Buffer，并且這個 Buffer 是未清零的
8.0 之后的版本可以通過另一個函數(shù) Buffer.allocUnsafe(size) 來獲得未清空的內(nèi)存

低版本的node可以使用buffer()來查看內(nèi)存，只要調(diào)用過的變量，都會存在內(nèi)存中，那么可以構(gòu)造paylaod來讀取內(nèi)存
req.query.data.length 的限制可以通過傳入數(shù)組繞過

1.題目通過訪問得到了一串代碼，這段代碼提示在沙箱中執(zhí)行。

2.由于沙箱的隔離機(jī)制，無法執(zhí)行eval()等操作系統(tǒng)的函數(shù)。

3.要拿到flag則需要讓eval()執(zhí)行。利用逃逸沙箱漏洞，從而得到flag。

看了別人的解題思路，通過腳本，找到內(nèi)存泄漏時執(zhí)行的eval()函數(shù)，得到flag。

import requests import time url = 'http://ip:port/?data=Buffer(500)' response = '' while 'flag' not in response:req = requests.get(url)response = req.textprint(req.status_code)time.sleep(0.1)if 'flag{' in response:print(response)break

?

?

?

總結(jié)

以上是生活随笔為你收集整理的攻防世界——leaking的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。